主流がJavaScriptからVBAへ マルウェア脅威「VBA形式のダウンローダー型」が急増：Microsoftの技術サポートを装った詐欺サイトにも注意

キヤノンITソリューションズが、2017年7月のマルウェア検出状況に関するレポートを公開。「ダウンローダー型マルウェア」の主流がこれまでのJavaScript形式から「VBA形式」に代わったという。

[＠IT]

　キヤノンITソリューションズは2017年9月6日、2017年7月のマルウェア検出状況をまとめたレポートを公開した。同社が国内で展開するエンドポイントセキュリティソフトウェア「ESET」で得られたマルウェア検出データを基に分析したところ、2017年7月は、Microsoft Officeに搭載されるプログラミング言語「VBA（Visual Basic for Applications）」を使ったダウンローダー型マルウェアの検出比率が高まったという。

ダウンローダー型マルウェアの検出数の推移（出典：キヤノンITS）

　ダウンローダー型マルウェアは、感染後に別のマルウェアやウイルスをダウンロードさせるように動作するもの。これまでの主流はJavaScriptを使ったものだったが、2017年6月からVBA形式の検出比率が急増した。JavaScript形式のダウンローダーに対するセキュリティソフトウェアの検知率が向上したことから「攻撃者は別の手法を試しているところ」（同社）と推測される。

　Microsoft Officeの初期設定では、VBAが含まれるOfficeファイルを開くとスクリプトの実行前に警告が表示される。しかし警告を非表示にしている場合も多く、VBAが意図せずに実行されてしまうことによる被害の拡大が危惧される。

　この他、Microsoftの技術サポートを装った詐欺サイトも多く確認された。詐欺サイトにアクセスすると「パソコンからマルウェアが検出されました」などとユーザーの不安を煽って偽のサポート窓口に電話をかけさせ、架空の有償サポート契約を結ぶよう迫られるという。

Microsoftのサポートサイトを装った詐欺サイト（出典：キヤノンITS）

ランサムウェア「Locky」、今なお脅威

　ダウンローダー型マルウェアがダウンロードする脅威で最も多く確認されたのは、暗号化型ランサムウェアの「Locky（Win32/Filecoder.Locky）」だった。Lockyは、2017年7月に検出されたランサムウェアの6割を占め、2016年2月に初めて確認されて以来、プログラムコードを改変しながら今なお活動を続けている。主な感染経路は電子メール。請求書ファイルなどを装ったLockyのダウンローダーを添付ファイルとして送付したり、zipなどでアーカイブしたLocky本体を直接送りつけたりする手口が確認されている。

　Lockyが暗号化（無効化）の対象とするファイルは、発見当初の150種類から、2017年7月には3倍の450種類に増加。これまでのテキスト、画像、動画などの一般的なファイルだけでなく、データベースファイルやゲームのセーブデータファイルなども対象となるように改変されている。同社は、「個人、法人を問わず、あらゆるユーザーがLockyの標的とされている」と警鐘を鳴らした。