Webブラウザー上で実行される脅威を多数検出! その感染経路とは ―2020年11月サイバーセキュリティニュース

11月の概況

2020年11月（11月1日～11月30日）にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

国内マルウェア検出数^*1の推移
(2020年6月の全検出数を100%として比較)

^*1 検出数にはPUA (Potentially Unwanted/Unsafe Application; 必ずしも悪意があるとは限らないが、
コンピューターのパフォーマンスに悪影響を及ぼす可能性があるアプリケーション)を含めています。

2020年11月の国内マルウェア検出数は、検出数が減少した10月と変わって増加しました。検出されたマルウェアの内訳は以下のとおりです。

国内マルウェア検出数^*2上位(2020年11月)

順位	マルウェア名	割合	種別
1	JS/Adware.Subprop	19.3%	アドウェア
2	HTML/ScrInject	16.1%	HTMLに埋め込まれた不正スクリプト
3	JS/Adware.TerraClicks	4.0%	アドウェア
4	JS/Adware.PopAds	2.7%	アドウェア
5	JS/Agent.OAY	2.4%	不正なJavaScriptの汎用検出名
6	JS/Adware.Agent	2.2%	アドウェア
7	VBA/TrojanDownloader.Agent	2.0%	ダウンローダー
8	HTML/Fraud	1.2%	詐欺サイトのリンクが埋め込まれたHTML
9	HTML/Phishing.Agent	1.2%	別のページに遷移させるスクリプト
10	MSIL/GenKryptik	0.8%	難読化されたMSIL形式ファイルの汎用名

*2 本表にはPUAを含めていません。

11月に国内で最も多く検出されたマルウェアは、JS/Adware.Subpropでした。JS/Adware.Subpropは不正な広告を表示するアドウェアの1つです。JS/Adware.Subpropは、偽のAdobe Flash Playerのアップデートや有名ベンダーのWebバナーを悪用して、悪意のあるコンテンツや不要なソフトウェアを配布します。

検出数上位10種の内、8種がWebブラウザー上で実行される脅威です。検出数第5位のJS/Agent.OAYは、Webページ内のリンクへアクセスする機能とリダイレクト機能を持つJavaScriptで書かれたスクリプトです。

JS.Agent.OAYの日別検出数の推移（国内、2020年）

検出数の推移を見ると、11月後半から検出数が増加しています。主な原因として、設置されたWebページやリンク元となるWebページの増加などが考えられます。

JS/Agent.OAYの設置例

JS/Agent.OAYの感染経路の一例と主な動作について説明します。感染経路の1つ目は、放棄されたドメインを再取得しスクリプトを埋め込むケース（上図①）が考えられます。2つ目は、既存のWebページを改ざんしてスクリプトを埋め込むケース（上図②）が考えられます。放棄されたドメインを再取得することで、別のWebページのリンクからのアクセスを悪用し、悪意のあるWebページへ誘導しようとしています。また、多くの人から悪意のあるWebページにアクセスしてもらうために検索エンジンで上位に表示されることも狙っていると考えられます。

JS/Agent.OAYのリダイレクト先のURLが書かれたコードのサンプル

上図のサンプルが実行されると、URLの通信プロトコルを確認します。確認したプロトコルとスクリプト内に書かれたURLの一部と合わせてURLを完成させます。

他にもWebページのURLやリンク元の情報を確認します。指定したURL先に対して、確認した情報とスクリプト内に書き込まれた文字列を送信します。

JJS/Agent.OAYのHTTP通信を確立させるためのコードのサンプル

通信方法として、XDomainRequestとXMLHttpRequestをユーザーが使うブラウザーによって使い分けています。ユーザーが、Internet Explorer 8~11を使っている場合は前者で通信を確立させます。それ以外のブラウザーの場合は、後者を使います。多くのユーザーを対象とするため、様々なブラウザーやバージョンで実行可能にしていると考えられます。

改ざんされたWebページに置かれた悪意のあるスクリプトによる想定被害例

今回のようなWebページに置かれた悪意のあるスクリプトは、アクセスすると同時に実行されます。実行後は、攻撃者の用意したWebページへリダイレクトします。リダイレクト先では、悪意のあるコンテンツ（マルウェアを含む）のダウンロードやCookieなどの情報を窃取される恐れがあります。

今回ご紹介したように、11月はWebブラウザー上で実行される脅威を多数検出しています。検出数第1位だったJS/Adware.Subpropは勿論のこと、検出数が増加しているJS/Agent.OAYなどの悪意のあるスクリプトにも注意が必要です。このようなスクリプトに気づくことは困難です。スクリプトが実行されると、悪意のあるコンテンツのダウンロードやCookieなどの情報を窃取される恐れがあります。このような脅威の被害に遭わないためにも、セキュリティ製品の正しい運用や使用するWebブラウザーのバージョンや脆弱性に注意することが重要です。また、Webページを運営する際は、ドメインの取得・廃棄などの管理に注意してください。

常日頃からリスク軽減するための対策について

各記事でご案内しているようなリスク軽減の対策をご案内いたします。
下記の対策を実施してください。

1. ESET製品プログラムの検出エンジン(ウイルス定義データベース)を最新にアップデートする
ESET製品では、次々と発生する新たなマルウェアなどに対して逐次対応しております。
最新の脅威に対応できるよう、検出エンジン(ウイルス定義データベース)を最新にアップデートしてください。

2. OSのアップデートを行い、セキュリティパッチを適用する
マルウェアの多くは、OSに含まれる「脆弱性」を利用してコンピューターに感染します。
「Windows Update」などのOSのアップデートを行い、脆弱性を解消してください。

3. ソフトウェアのアップデートを行い、セキュリティパッチを適用する
マルウェアの多くが狙う「脆弱性」は、Java、Adobe Flash Player、Adobe Readerなどのアプリケーションにも含まれています。
各種アプリのアップデートを行い、脆弱性を解消してください。

4. データのバックアップを行っておく
万が一マルウェアに感染した場合、コンピューターの初期化(リカバリー)などが必要になることがあります。
念のため、データのバックアップを行っておいてください。

5. 脅威が存在することを知る
「知らない人」よりも「知っている人」の方がマルウェアに感染するリスクは低いと考えられます。マルウェアという脅威に触れてしまう前に「疑う」ことができるからです。
弊社を始め、各企業・団体からセキュリティに関する情報が発信されています。このような情報に目を向け、「あらかじめ脅威を知っておく」ことも重要です。