ESET脅威レポート2023年上半期版 レポートサマリー
- 2023年上半期には、脆弱性の悪用、不正アクセス、機密情報の漏えい、個人を対象にした詐欺など、変幻自在に姿を変えたサイバー犯罪者による攻撃を確認。
- Officeアプリケーションのマクロの代わりにMicrosoft OneNoteを使用するなど、Microsoftのセキュリティ対策を回避しようとする新たな手法を開発。そのほか、セクストーション詐欺メールやAndroidローンアプリの驚異的な増加を確認。
- ESETのテレメトリデータは、Emotetボットネットのオペレーターが攻撃対象領域の縮小に苦戦していることを示しており、おそくら高度な技術力を持たない別の脅威グループがボットネットを獲得したと思われます。
- Babyk, LockBit, Contiといった流出したランサムウェアファミリーのソースコードが、2023年上半期には新たなランサムウェア亜種の開発に使用されていることが判明。
ESETのテレメトリによって確認された、2023年上半期(2022年12月~2023年5月)までの脅威動向をまとめた最新のESET脅威レポートを公開しました。
2023年上半期には、脆弱性の悪用、不正アクセス、機密情報の漏えい、個人を対象にした詐欺など、変幻自在に姿を変え攻撃を展開しているサイバー犯罪者の動きが確認できました。
そのほかレポートでは、個人向けローンサービスを装い手軽な貸し付けを約束するAndroidローンアプリの急増や、セクストーションメール詐欺の増加、暗号通貨の脅威などを紹介しています。暗号通貨の脅威は減少傾向が確認されましたが、暗号通貨関連のサイバー犯罪は世界中で依然として継続して展開されており、クリプトマイニングやクリプトスティーリングの機能は、より汎用性の高いマルウェア系統に組み込まれている傾向があります。この進化は過去に観察されたパターンを踏襲しているため、今後も注意が必要です。
ESETのリサーチ部門最高責任者であるRoman Kováč(ローマン・コヴァチ)は次のように述べています。「Babyk, LockBit, Contiのようなランサムウェアファミリーのソースコードの流出は、素人がランサムウェアを利用することを可能にしています。同時に、私たち防御側には、より一般的な、またはよく知られた検出とルールの組み合わせで、広範囲な亜種を防ぐことが可能になります。」
また、日本国内での脅威動向については、ESETの販売代理店である、キヤノンITソリューションズ株式会社のサイバーセキュリティラボより、以下見解をいただいております。こちらもご参考ください。
日本国内におけるOneNote形式のEmotetダウンローダーの検出
■概要
Microsoft OneNoteは様々な形式のファイルをノートに埋め込むことができるデジタルノートアプリケーションです。その利便性の高さが攻撃者に注目され、WordやExcelの代わりにマルウェアのダウンローダーとして悪用されるようになりました。2023年3月に活動を再開したEmotetもOneNoteファイルを悪用しています。
■日本国内の検出状況
ESET製品は悪性のOneNoteファイルをVBS/TrojanDownloader.Agentなどの検出名で検出します。悪性のOneNoteファイルが初めて確認されたのは2022年12月で、2023年1月以降その検出数は劇的に増加しています。3月後半の検出スパイクは、Emotetへの感染を狙ったダウンローダーが多数を占めていることを確認しています。
■攻撃の流れ
OneNoteファイルを悪用した攻撃の一例を以下に示します。
① 悪性スクリプトを埋め込んだOneNoteファイルを用意する
② 用意したファイルをメールの添付ファイルやフィッシングサイト経由で配布する
③ メールの文面によって受信者がファイルを開くように誘導する
④ 受信者がViewボタンをダブルクリックするように誘導する
(Viewボタンの背後に悪性スクリプトが埋め込まれている)
⑤ 悪性スクリプトによってEmotetなどのマルウェアをダウンロードし実行する
■対策
脅威レポート本文で述べられているように、OneNote形式ダウンローダーによるマルウェアへの感染を防ぐためには以下の対策が有効です。
- 潜在的に危険な120種の拡張子をOneNoteファイル上で無効化するアップデートが適用された最新のWindowsを使用する
- (組織でOneNoteファイルを使用していない場合)OneNoteファイルが添付されたメールをメールサーバーでブロックする
- 攻撃に使用されている拡張子(.js, .exe, .com, .cmd, .scr, .ps1, .vbs, .lnk)のOneNoteへの埋め込みをグループポリシーで無効化する
- OneNote ファイルによる悪意のある活動を検出、ブロックするセキュリティ製品を利用する
CVE-2017-11882を悪用した攻撃を継続的に確認
■概要
CVE-2017-11882(以下、本脆弱性)はMicrosoft Officeのコンポーネントである数式エディター 3.0(以下、数式エディター)におけるスタックバッファオーバーフローの脆弱性です。数式エディターはMicrosoft Office 2003以前のバージョンのMicrosoft Officeで数式を入力するために搭載されたソフトウェアで、Microsoft Office 2007以降においても互換性を確保するために搭載されています。
本脆弱性が悪用された場合、攻撃者によってリモートから任意のコードが実行される可能性があります。
■日本国内の検出状況
ESET製品は本脆弱性に対する攻撃をWin32/Exploit.CVE-2017-11882などの検出名で検出します。本脆弱性に対する修正プログラムは2017年11月に公開されていますが、2023年現在も継続的に攻撃が検出されています。本脆弱性に対する攻撃が続いている原因として、以下の2点が考えられます。
- 修正プログラム未適用のPCが未だ多く存在していること
- 本脆弱性を攻撃するツールがダークウェブ上で公開されており、攻撃が容易であること
■攻撃の流れ
本脆弱性を悪用した攻撃の一例を以下に示します。
① 本脆弱性を攻撃するコードを仕込んだMicrosoft Excelファイルを用意する
② 用意したファイルをメールの添付ファイルやフィッシングサイト経由で配布する
③ メールの文面によって受信者がファイルを開くように誘導する
④ 受信者が保護ビューを解除するように誘導する
⑤ 本脆弱性を攻撃するコードによってAgent TeslaやFormBookなどのマルウェアをダウンロードし実行する
■対策
本脆弱性を悪用した攻撃を防ぐためには、以下の対策が有効です。
- Microsoft Officeの更新プログラムを適用する
- Microsoft Officeの数式エディターを無効化する
電子メール経由で配布されるダウンローダーの実行を防ぐためには、以下の対策が有効です。
- 信頼していない電子メールの本文中のURLや添付ファイルは開かない
- 信頼していないOfficeファイルでは「編集を有効にする」をクリックしない
