2020.11.19   セキュリティ脅威

Emotetと TrojanDownloader

TrojanDownloader_1

はじめに

2020年7月以降、Emotetの活動が再開してきたニュースが話題になっていましたが、マルウェアの検出数を見ると「VBA/ TrojanDownloader.Agent 」が7月以降急激に増加しています。今回はEmotetの感染から見たダウンローダがどのような働きをしているかご紹介します。

あわせてお読みいただきたい関連記事
Emotetへの対策と対応は
マルウェア「トロイの木馬」- 分類と対策について

VBA/TrojanDownloader.Agentについて

TrojanDownloader_2

TrojanDownloader は悪質なマルウェアをダウンロードするダウンローダー型のトロイの木馬です。
その中でも「VBA/ TrojanDownloader.Agent 」というマルウェアは、今年の4月から9月にかけて急激に増加しています。

TrojanDownloader_3


▲2020年9月の国内マルウェア検出数▲

Emotetの感染を狙った攻撃に利用
9月に急激に増加している原因は、Emotetの感染を狙ったばらまきメールを多数検出したことです。
4月と比べると、15倍もの検知件数になっています。

TrojanDownloader_4

▲VBA/ TrojanDownloader .Agentの検出数の月別推移(国内、2020年)▲
※2020年4月を100%と設定

TrojanDownloader_5

Emotetの感染拡大
感染拡大を試みるスパムメール送信に悪用される可能性のある国内ドメイン (.jp) のメールアドレスの急増を確認しています。

▲2020年9月の国内マルウェア検出数▲

拡散の手法

VBA/TrojanDownloader .Agentは主にMicrosoft Word文書(拡張子.doc/.docmなど)あるいはMicrosoft Excel文書(拡張子.xls/.xlsmなど)が大半で、ばらまき型のメールに添付されて拡散されています。

TrojanDownloader_6

特に注意を要すると思われるメールは、「正規のメールへの返信を装う手口」です。
下の例が、攻撃メールの受信者が取引先に送信したメールが丸ごと引用され、返信されてきたかのように見える内容で、ウイルスが添付され、送り付けられてきたと思われる状況の攻撃メールです。

▲Emotetへの感染を狙う攻撃メールの例▲

TrojanDownloader_7

Emotetの場合、メールの不正な添付ファイルを開くと、MicrosoftやOfficeのロゴ等と、数行のメッセージが書かれた文書が表示されます。添付されているWord文書ファイルのデザインは、数種類のバリエーションがあります。

▲添付ファイルを開いた時の画面の例▲

コンテンツ有効化でマルウェアのダウンロードを実行
Microsoft Office内の「マクロの設定」という項目を変更している場合を除き、この手口の不正ファイルでは、基本的にはファイルを開いただけではウイルスに感染することはありません。安全のため、文書ファイル内に埋め込まれているマクロの動作が止められているためです。しかし、利用者がマクロの実行等を許可した場合は、悪意のあるマクロが動作し、ウイルスに感染させられてしまいます。

TrojanDownloader_8


▲「コンテンツ有効化」ボタンに注意▲

感染しない為の対策

セキュリティ対策ソフトを導入する

マルウェア駆除にも利用するウイルス対策ソフトの中には、危険なサイトを通知するタイプも存在します。必ずセキュリティソフトは導入しましょう。

OSやソフトウェアを最新のバージョンにする

サイバー攻撃の大半はシステムの脆弱性を利用して行われます。OSやソフトウェアは常に最新のバージョンを保つ様に心がけましょう。

不審なメールを閲覧しない

取引先や顧客を装ったメール攻撃は、感染経路としては古典的な方法です。
最近は文面が非常に巧妙化しているものの、手口そのものは変わりません。知らない送信元からのメールで、金銭に関することなど興味をそそるようなメールは開かないようにしょう。また、自身が送ったメールの返信にマルウェアが仕込まれた添付ファイルが送られてくるケースもあるので注意が必要です。

怪しいサイトを閲覧しない

メール攻撃同様にこちらも古典的なサイバー攻撃です。掲示板やSNSに貼られたURLの中には、マルウェアページにジャンプさせることも考えられます。また、Webページに埋め込まれているスクリプト型ウイルス(JavaScript)もあり、閲覧した際にスクリプトが実行され,感染する可能性もあるので、少しでも怪しいと思ったサイトは開かないようにしましょう。

リンク先をチェックする

特に多いのがメールからのリンク誘導です。正規のメールを装い、リンク先のサイトで感染可能性があります。
アドレスをよく確認する必要があります。

おわりに

「VBA/TrojanDownloader.Agent」は主にメールを介して感染します。感染後、他のEmotet等のマルウェアをダウンロードしてしまい、被害が増大してしまいます。なのでこのマルウェア自体の感染を防ぐことが重要になります。PCにセキュリティソフトを入れた上で、普段から不審なメールを開かないよう使用者は心がけましょう。

参考文献

マルウェア情報局 2020年9月 マルウェアレポート
TRENDMICRO Trojan.W97M.EMOTET.JKAG
IPA 「Emotet」と呼ばれるウイルスへの感染を狙うメールについて
JPCERTCC マルウェア Emotet の感染拡大および新たな攻撃手法について

Written by CYBERFORTRESS, INC.

 最新記事一覧へ

サイバーフォートレス CYBERTHREATS TODAY 編集チーム

サイバーフォートレスは、サイバーセキュリティ対策を提供するセキュリティ専門企業です。

セキュリティ対策や、最新のセキュリティ脅威、サイバー攻撃のトレンドなど、当社が研究開発や情報収集した内容をもとに、最新のセキュリティ脅威・セキュリティ対策についてお伝えします。

関連記事

[Python] Pythonとセキュリティ – ③Pythonで作る SQL インジェクションツール
2020.03.09
その他
[Python] Pythonとセキュリティ – ③Pythonで作る SQL インジェクションツール
マルウェア「LokiBot」とは何か
2020.10.07
セキュリティ脅威
マルウェア「LokiBot」とは何か
Web改ざん -どう改ざんされるのか-
2020.09.11
セキュリティ脅威
Web改ざん -どう改ざんされるのか-

よく読まれている記事

不正コード
2020.11.27
MSS
不正コードに感染した内部ユーザーの 情報漏洩 検知
[Zabbix] ゼロから始めるZabbix -snmp-
2020.04.07
インフラ
[Zabbix] ゼロから始めるZabbix -snmp-
[Zabbix] ゼロから始めるZabbix -snmptrap-
2020.04.17
インフラ
[Zabbix] ゼロから始めるZabbix -snmptrap-