コンピュータウイルス「URLZone」を使ったサイバー攻撃が増えている。セキュリティベンダーのCylance Japanによると、感染被害の85%は日本で発生しているという。URLZoneの特徴は、Webブラウザーである「Internet Explorer(IE)」やWindowsが備えるエクプローラ―になりすますこと。このためプロセス(実行中のアプリケーション)を監視してもURLZoneを見つけられない。

ターゲットが欧州から日本に

 Cylance Japanが2018年6月21日に公開した調査レポートによると、2018年2月から4月の間にURLZoneの被害に遭った日本企業は31社だったのに対して、日本以外の企業は6社だったという。

2018年2~4月のURLZoneの被害件数。日本は青色、日本以外はオレンジ色でプロットした
(出所:Cylance Japan、以下同じ)
[画像のクリックで拡大表示]

 調査を担当した同社の脅威解析リサーチ 糟谷正樹 上級脅威解析研究員は、「URLZoneによる日本を狙った攻撃は5月以降も継続している。また毎月1回、攻撃が急増するピークがあるようだ」と解説する。

 URLZoneは10年以上前に見つかったウイルス。パソコンに感染して、オンラインバンキングとやり取りする情報を盗み出す目的で使われることが多い。同社の脅威解析リサーチ 本城信輔マネージャーは、「URLZoneの動きを長期間監視しているが、主に日本を攻撃するようになったのはここ3~4年。以前は、欧州が中心だった」という。

プロセス監視では見つけられない

 URLZoneの特徴は二つある。前述のように、一つはIE(iexplorer.exe)やエクスプローラー(explorer.exe)になりすますこと。もう一つは、サンドボックスと呼ばれる仮想化環境でウイルスを検知する装置やサービスでは検知しにくいことである。

 URLZoneの感染経路の一つはメールである。メールに添付されたOffice文書ファイルを開くと感染することが明らかになっている。URLZoneに感染させるファイルは、業務に関連するように見せかけたメールに添付されている。

URLZoneに感染させるファイルが添付されていたメールの例
[画像のクリックで拡大表示]

この先は有料会員の登録が必要です。有料会員(月額プラン)は申し込み初月無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら