キヤノンITソリューションズ、2018年上期のマルウェア動向を解説

2018年上半期に発生した主な仮想通貨盗難事件

　キヤノンITソリューションズは8月22日、同社のウイルス対策ソフト「ESET」が2018年上半期に国内で検出したマルウェアや発生したサイバー攻撃の動向をまとめた「マルウェアレポート」を発表した。同レポートによると、上半期に検出されたマルウェアの数は、2017年下半期に比べて半減したという。しかし、フィッシング詐欺は増加傾向、仮想通貨を狙ったサイバー攻撃など、さまざまな手口の脅威が広がっているとのこと。

キヤノンITソリューションズのマルウェアラボ シニアセキュリティリサーチャー石川堤一氏

　「マルウェアレポート」について、同社のITインフラセキュリティ事業部マルウェアラボ シニアセキュリティリサーチャーの石川堤一氏が解説する。今回のマルウェアが半減した要因は、昨年末に多く検出された、ダウンローダーを添付したばらまき型メールが減少したからではないかとのこと。特に、昨年猛威を振るっていたVBScriptで作られたマルウェアが大きく減少し、今年に入ってからはほとんど検出されていないという。

上半期に検出されたマルウェアは、2017年下半期に比べて半減

　マルウェアで最も多く検出されたのは、2017年下半期と同様、JavaScript（JS）で作られたマルウェアだが、しかし、その内訳については様変わりしているそうだ。上半期になってから、勝手に仮想通貨のマイニングを行う「JS/CoinMiner」というマルウェアや、「JS/Redirecttor」といった特定のサイトに誘導するリダイレクト型のマルウェアが増加しているとのこと。いずれもWebサイト上に存在する脅威だが、この傾向は、攻撃の対象がWindows端末から、スマートフォンやタブレットなど、さまざまな端末に広がっていることが考えられると、石川氏はいう。

　「マルウェアレポート」では、仮想通貨を狙った脅威についても報告をしている。石川氏は、2017年にBitcoinの価格が高騰して以来、サイバー攻撃者の関心が仮想通貨に向かっているという。仮想通貨のセキュリティーそのものは信頼性の高い技術を使っているが、それを取扱う仮想通貨交換所や、アプリケーションやサーバーにウィークポイントは存在するとのこと。2018年上半期は、数多くの仮想通貨流出事案が発生した。その代表的な事案がコインチェックのNEM流出事件だが、その後も仮想通貨交換所へのサイバー攻撃は続いているという。

　コインチェックの事件では、仮想通貨を盗んだ犯人が、その後資金洗浄を目的としてダークウェブ（Torサイト）に交換所を立ち上げ、不特定多数を相手に、盗んだ仮想通貨を他の仮想通貨と交換してしまったことから、犯人の追跡が困難になってしまったとのこと。特定の国や組織の影響を受けない仮想通貨の特徴は利点であるが、盗まれた際のリスクは大きいと石川氏はいう。

ダークウェブ（Torサイト）に交換所

　また、もう1つ、仮想通貨に対する驚異として、マイニングマルウェアを挙げている。マイニングマルウェアは、サイトを訪問したユーザーのCPUパワーを勝手に利用してマイニングを行う、Web上で動作するタイプのマルウェアだという。上半期に検出されたマイニングマルウェアの90%以上が、JavaScriptで作られた「JS/CoinMiner」とのこと。JS/CoinMinerは、大多数が「Coinhive」もしくはそれを基にしたものだという。「Coinhive」は、Webサイトの運営者が広告代替えとなる収益を得るためのサービスだが、これらのマルウェアは、勝手にWebサイトを改ざんして「Coinhive」を埋め込み、ユーザーの了解なしにマイニングを行い、不正に収益を得るという、「Coinhive」を悪用するものとのこと。

　石川氏は最後に、マルウェアが半減しつつある中で、フィッシング詐欺は増加傾向にある理由として、ダークサイトにて、サイバー犯罪に使うことを目的としたマルウェアやサイトを提供するサービスが増えていることを挙げている。ランサムウェアを販売する「RaaS」や、アカウント情報を詐取するための偽ウェブサイトを作成するサービス「PhaaS」などが存在しているという。これらのサイトを利用することで、簡単にサイバー犯罪が行えることから、マルウェアなどプログラミングの手間がかかるものに関しては、費用対効果の観点から減っているのではないかと締めくくった。

ダークウェブにおける作成が可能な偽サイトの一覧