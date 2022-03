2022年1月(1月1日~1月31日)と2月(2月1日~2月28日)にESET製品が国内で検出したマルウェアの検出数の推移は、以下のとおりです。

2022年1月と2月の国内マルウェア検出数は、2021年12月と比較して微減しました。検出されたマルウェアの内訳は以下のとおりです。

*2 本表にはPUAを含めていません。

1月と2月に国内で最も多く検出されたマルウェアは、JS/Adware.Agentでした。JS/Adware.Agentは、悪意のある広告を表示させるアドウェアの汎用検出名です。Webサイト閲覧時に実行されます。

2021年11月にEmotetが活動再開して大きな話題となりましたが、2022年1月と2月も11月に引き続き観測されています。特に2月以降は、急速に感染拡大している状況が確認されています。例えばJPCERT/CCは、Emotetに感染したことでメール送信に悪用される可能性のある.jpドメインのメールアドレス数について報告しています*3。この報告によると、該当するメールアドレス数は、2月時点ではEmotetの感染が急拡大した2020年に迫る勢いとなっており、さらに3月に入ると2020年の感染ピーク時の5倍以上に急増しています。

また2021年11月 マルウェアレポートの中で、Emotetダウンローダーの検出名を紹介しましたが、これらの検出数は2月頃から急激に増加しています。特にDOC/TrojanDownloader.Agentについては1月2月の検出数7位に入っており、国内で脅威が拡大していることがわかります。

*3 マルウェアEmotetの感染再拡大に関する注意喚起 | 一般社団法人JPCERTコーディネーションセンター

*4 凡例に示した3つの検出名は、さまざまなマルウェアのダウンローダーに対する検出名です。よって図のデータには、Emotet以外のマルウェアのダウンローダー検出数を含んでいます。

2月の急拡大においては、Emotetのばらまきメールとして、以前から観測されているパスワード付きZIP圧縮ファイルが添付されたメールを観測しています。メール本文に記載されたパスワードで圧縮ファイルを解凍すると、Microsoft Officeファイル形式のEmotetダウンローダーが展開されます。

2021年11月のマルウェアレポートに掲載したダウンローダーの例では、VBAマクロを使用したEmotetのダウンロード処理が実装されていました。しかし、2022年2月に広まったダウンローダーの一部には、Excel 4.0マクロによって実装されているファイルも確認しています。上記の画像で示したダウンローダーもその1つです。

Excel 4.0マクロとは別名XLMとも呼ばれ、VBAの実装以前から存在するマクロです。VBE(Visual Basic Editor)に記述するVBAとは異なり、マクロシートと呼ばれるシートのセル内にコードを記述します。Microsoft ExcelにVBAが実装された後も、互換性維持の目的でExcel 4.0マクロは機能を残しています。そのため、セキュリティ製品による検出から逃れたり、マルウェア解析者による解析を困難にしたりする目的で、この機能をマルウェアに悪用されることがあります。

画像のダウンローダーの例では、「Sheet」という名前のシート以外に、いくつかのシートが非表示として設定されています。これはターゲットとなるユーザーから、マクロが記述されたシートの存在を隠ぺいする目的があると考えられます。

さらに非表示シートの1つである「EFWFSFG」を表示すると、「Auto_Open」と呼ばれる組み込み関数が、D1セルに設定されていることを確認できます。この「Auto_Open」により、同じD列に記述されている難読化が施されたコードが、Excelファイルを開いてコンテンツの有効化を行った際に自動で実行されます。

Excel 4.0マクロの解析ツール*5を使用してコードの詳細を見てみると、以下の処理が行われることがわかります。

以上のように、Excel 4.0マクロを使用して、マルウェアのダウンローダー機能を実装することができます。また、シートの非表示機能やコードの難読化を行うなど、悪性のファイルであることを判別しにくく、解析が困難になるような工夫も施される場合があります。

*5 Excel 4 Macro Analysis: XLMMacroDeobfuscator | SANS Internet Storm Center

先述したとおり、2021年11月にEmotetの活動が再開し、さらに2022年2月には脅威が急激に拡大しています。今回紹介したExcel 4.0マクロは、最新のMicrosoft Excelではデフォルトで無効となっている*6ため、被害に遭わないためには早急にアップデートすることが重要です。また、2021年サイバーセキュリティレポートの第2章で言及したように、このようなアップデートによって、攻撃者が使用するダウンローダーに変化が生じる可能性も考えられるため、今後の動向に注意が必要です。

*6 Excel 4.0 (XLM) macros now restricted by default for customer protection | Microsoft Tech Community

4-2. 情報共有 同じ業種・業界の企業は、同じ攻撃者グループに狙われる可能性が高いと考えられます。同じ攻撃者グループの場合、同じマルウェアや戦略が使われる可能性が高いと考えられます。分野ごとのISAC(Information Sharing and Analysis Center)における情報共有は特に効果的です。

