ランサムウェアの入口となる「jsファイル」の罠

ここ数年の間、金銭的な影響を与えるマルウェア関連の脅威が大きく増加しています。官公庁やセキュリティ関連団体、ベンダーなどが調査レポートを公開しているように、日本を狙った攻撃も増加の一途をたどっています。

代表的な攻撃としては、特定の企業・業種を狙う「標的型(APT)攻撃」や、Webサイト訪問者を無差別に狙って感染させる「Webサイト改ざんによる攻撃」、こちらも無差別にメールを送り付け、添付ファイルを開くことで感染させる「ばらまき型メール攻撃」などがあります。

この連載ではこれらの攻撃について、具体的な攻撃事例を交えて解説するとともに、対策方法について紹介します。第1回は、今年急増したランサムウェアのメールによる攻撃について取り上げます。

不審メールがQ1からQ2にかけて8倍に

個人・法人を問わず、不審なメール件数は増加しています。

情報処理推進機構(IPA)が7月に発表した調査結果によると、ウイルスや不正プログラムが添付されたメールの検出数が、第1四半期(1～3月)から第2四半期(4～6月)にかけて約8倍まで増加しています。恐らく読者の中にも不審なメールを受信した方が多くいらっしゃるかと思います。当然のことですが、この不審なメールに添付されたファイルは絶対に開いてはいけません。

また、警察庁が9月15日に公開した「平成28年上半期におけるサイバー空間をめぐる脅威の情勢等について」の資料でも、これまでほとんど報告されていなかった「圧縮ファイル化された.jsファイル」が急増しているという指摘がありました。圧縮ファイルに含まれる.jsファイルは、標的型メール攻撃による情報搾取に限らず、さまざまな目的で利用されていることが確認されています。

「ランサムウェア」というキーワードは、セキュリティにあまり関心がなくとも「耳にしたことがある」という方はいらっしゃるのではないでしょうか。海外では以前よりポピュラーな存在となっていましたが、今年に入ってからは日本でも猛威を振るうようになりました。そのランサムウェアを自動的にダウンロードさせるために用意されたものが、圧縮して難読化された.jsファイルなのです。

いわゆる「不審なメール」は標的型攻撃でも使われますが、ランサムウェアをダウンロードさせる.jsファイルは「ばらまき型メール攻撃」で幅広い対象に送信されています。弊社が取り扱っているESET製品による検出数の集計でも、この不審なメールに添付されたマルウェアの検出が圧倒的な量を占めています。

代表的なダウンローダーとして「JS/Danger.ScriptAttachment」がありますが、上記のグラフでは国内のESETユーザーのうち、同ファイルを検出した割合を表しています。5月以降は常に50%以上の検出率で推移しており、ランサムウェアに感染する恐れのあるメールを、多くのメール利用者が受信している可能性があることを示唆しています。

こうした攻撃に対して「何をすべきか」と言えば、セキュリティ対策の基本である「ウイルス対策ソフトの利用」と「システム環境を常に最新の状態にする」ということです。これを怠ることで、ウイルス対策ソフトがマルウェアを検出できず、不審なメールを受け取り、添付ファイルを実行してランサムウェアや情報搾取型マルウェアに感染してしまうリことに繋がります。最新ソリューションの導入も重要ですが「まずやれることからやる」ことが重要となります。

この状況を踏まえ、すでに特定の拡張子が含まれるメールの排除や圧縮ファイルに対する検査の強化などを検討し、こうした不審なメールを従業員の目に触れさせない「予防策」を講じている企業もあるでしょう。しかし、攻撃はこれだけにとどまりません。スパム(迷惑メール)とフィッシングメールも継続して出回っている現状では、単一の対策だけでなく、複合的な対策に取り組まなければ「防御力の向上」には繋がりません。

次回は、防御力向上に繋がる対策方法を、実際に起きたメール攻撃の具体例も交えて紹介します。