トレンドマイクロは5月27日、日本国内および海外のセキュリティ動向を分析した報告書を公開した。

「不正広告」と「ゼロデイ脆弱性」を組み合わせた攻撃を初確認

2015年第1四半期は、新たな攻撃手法として広告配信会社のサーバを改ざんし、広告配信先の正規サイトにアクセスしたユーザーを不正サイトに誘導する「不正広告」と、ソフトウェアの開発元から修正プログラムが提供されていないゼロデイ脆弱性を組み合わせた攻撃が初めて確認された。

また下図のように、アプリケーションの拡張機能であるマクロを悪用する「マクロ型」不正プログラムの全世界の検出台数が前年同期比約4.7倍に増加している。確認された事例では、マクロを有効にするようにファイル内に誘導文を表示してユーザーを巧みに誘導する騙しの手口や、結果的にオンライン銀行詐欺ツールを呼び込む攻撃があった。



マクロ型不正プログラムの検出台数（全世界）（トレンドマイクロ提供） マクロ型不正プログラムの検出台数（全世界）（トレンドマイクロ提供）

マクロ型不正プログラムは、2000年ごろに流行した古い攻撃手法であり、近年それほど注目されなくなっていたが、攻撃者は古い攻撃手法を現在も有効な攻撃手法として洗練させて、使用している。

ランサムウェアの法人ユーザー検出台数が前期比約1.6倍に増加

感染したPC全体やPC内のファイルを暗号化し、復旧の代わりに金銭を要求する身代金要求型不正プログラム「ランサムウェア」の検出のうち、法人ユーザーからの検出台数は下図の通り。法人ユーザーでのランサムウェア検出は前期比約1.6倍（2014年10月～12月：3546件、2015年1月～3月：5792件）に増加し、1月～3月の全検出台数の約4割を占めている。

また、感染したPCがアクセス可能なネットワーク共有フォルダ上のファイルや、ウェブサーバ内のファイルを探索して暗号化するランサムウェアが初めて確認された。これらは、ネットワーク上で多くのファイルが共有されている企業や組織を狙ったものと推測される。

ランサムウェアは現状、英語で金銭要求を行うものが海外を中心に流通している。しかし、既にネットワーク共有フォルダ上のファイルの暗号化被害報告が日本の法人ユーザーから数件確認されており、今後は日本語で金銭要求を行うランサムウェアが日本の法人ユーザーを狙う事例が発生する可能性も懸念される。



ランサムウェアの検出台数（全世界）（トレンドマイクロ提供） ランサムウェアの検出台数（全世界）（トレンドマイクロ提供）

オンライン銀行詐欺ツールの国内検出台数が前年同期比約1.5倍に増加

インターネットバンキング利用者の情報を狙うオンライン銀行詐欺ツールの検出台数は、国内の検出台数が前年同期比で約1.5倍に増加しており（2014年1～3月：約5600件、2015年1月～3月：約8300件）、依然として高い水準にある。また、オンライン銀行詐欺ツールの新たな配布方法として、アダルトサイト上で表示される不正広告が悪用された事例が確認された。

加えて、2014年から複数のオンライン銀行詐欺ツールの監視対象として、地方銀行や信用金庫が主に利用している共通金融業務自動化サービスのウェブサイトが対象に入っていることが確認されており、これまで個別には狙われていなかった金融機関の利用者でも被害が発生する可能性が高まっている。

加えて、PC感染後にオンライン銀行詐欺ツール自身が削除されても情報窃取を可能にする新たなオンライン銀行詐欺ツール「WERDLOD」が、2014年12月より国内で確認されているとのこと。トレンドマイクロでは、国内において2015年1月～3月で400件以上の検出を確認しており、注意が必要だ。