2026年第2四半期のウイルスレビュー
2026年7月XX日
メールトラフィック内では、悪意のあるスクリプトとさまざまな種類のトロイの木馬(ダウンローダ、ドロッパー、パスワードスティーラ、マイナーなど)が最も多く検出されました。バックドアやフィッシングドキュメント、各種エクスプロイトも多く拡散されています。
最も多く検出された暗号化ランサムウェアはTrojan.Encoder.35534、Trojan.Encoder.41868、Trojan.Encoder.37400となりました。Doctor Webテクニカルサポートサービスに寄せられたファイルの復号化リクエスト数は前四半期と比較してわずかに減少しています。
2026年第2四半期には、メッセンジャーアプリ「MAX」のユーザーを標的としたフィッシング攻撃の増加がDoctor Webのインターネットアナリストによって観測されました。そのほか、詐欺師は話題のイベントやニュースに便乗し、それらを既存の詐欺手口に組み込んでいました。
5月、Doctor WebはmacOSユーザーとWindowsユーザーを標的とした悪意のあるアプリJobStealerについて注意を喚起しました。脅威アクターはWeb面接(オンライン面接)を行うという口実で被害者を悪意のあるサイトに誘導し、Web会議アプリに偽装したトロイの木馬JobStealerをダウンロードさせていました。JobStealerはおよそ300ものブラウザ拡張機能型仮想通貨ウォレットのデータやTelegramメッセンジャーファイル、ブラウザに保存されているパスワードとバンクカード(クレジットカードやデビットカード)情報、Cookieファイルなどといったさまざまな機密情報を盗み取ります。
6月、Doctor WebのアンチウイルスラボはAndroid OSのセキュリティ制限を回避してバックグラウンドで広告を表示させる新たなアドウェア型トロイの木馬Android.MagicAd.1について記事を公表しました。Android.MagicAd.1はそのためにサードパーティ製アプリを悪用するほか、感染させたデバイスのメーカーに応じてそれぞれ必要な手法を選択して使用します。
モバイル脅威では、バンキング型トロイの木馬Android.Bankerが最も多く検出されたAndroidマルウェアとなりました。また、マルウェア作成者はアンチウイルスによる検出を回避することを目的に、Androidアプリを改造するためのツールを積極的に悪用し続けています。Google Playでは第2四半期を通して、ユーザーを有料サービスに登録させる新たなトロイの木馬アプリが複数発見されました。
2026年第2四半期の主な動向
- 検出された脅威の合計数が増加
- ユニークな脅威の数が大幅に増加
- ランサムウェアに暗号化されたファイルの復号化リクエスト数が第1四半期と比較して減少
- ロシアのメッセンジャーアプリ「MAX」のユーザーを標的とした詐欺攻撃が増加
- バンキング型トロイの木馬Android.Bankerが引き続き最も多く検出されたAndroidマルウェアとなる
- Android OS の制限を回避してバックグラウンドで広告を表示させるトロイの木馬が発見される
- macOSユーザーとWindowsユーザーから機密情報を窃取するよう設計されたトロイの木馬JobStealer が拡散される
Doctor Webサーバーによる統計
2026年第2四半期に最も多く検出された脅威:
- Adware.Downware.20091
- Adware.Downware.20766
- 海賊版ソフトウェアのインストーラとして拡散されていることの多いアドウェアです。
- Trojan.Siggen31.34463
- 感染したシステムにさまざまなマイニング型トロイの木馬やアドウェアをダウンロードするよう設計された、Go言語で記述されたトロイの木馬です。このマルウェアは %appdata%\utorrent\lib.dllに置かれるDLLファイルで、Torrentクライアント「uTorrent」のDLL検索順序ハイジャッキング脆弱性を悪用することで起動します。
- Trojan.BPlug.4268
- WinSafeブラウザ拡張機能の悪意のあるコンポーネントの検出名です。このコンポーネントはブラウザに迷惑な広告を表示させるJavaScriptファイルです。
- Trojan.Starter.8319
- マルウェアTrojan.AutoIt.289とそのコンポーネントを起動する悪意のあるXMLスクリプトの検出名です。
メールトラフィック内で検出された脅威の統計
2026年第2四半期にメールトラフィック内で最も多く検出された脅威:
- X97M.DownLoader.2343
- 標的のコンピューターに悪意のあるファイルをダウンロードするOLEオブジェクトを含んだXLSXファイル(Microsoft Excelスプレッドシート形式)です。
- W97M.DownLoader.2938
- Microsoft Officeドキュメントの脆弱性を悪用するダウンローダ型トロイの木馬のファミリーです。感染させたコンピューターに別の悪意のあるプログラムをダウンロードすることもできます。
- Exploit.CVE-2017-11882.123
- Exploit.CVE-2018-0798.4
- Microsoft Officeソフトウェアの脆弱性を悪用し、攻撃者が任意のコードを実行できるようにするエクスプロイトです。
- JS.Muldrop.1171
- 内部に隠されたマルウェアを標的のシステム上で実行する悪意のあるJavaScriptです。
暗号化ランサムウェア
2026年第2四半期にDoctor Webテクニカルサポートサービスに寄せられた、ランサムウェアによって暗号化されたファイルの復号化リクエスト数は、2026年第1四半期と比較して2.67%とわずかに減少しました。
Doctor Webのテクニカルサポートサービスに寄せられた復号化リクエスト数の推移:
2026年第2四半期に最も多く確認された暗号化ランサムウェア(ユーザーからのリクエスト全体に占める割合):
- Trojan.Encoder.35534 — 14.47%
- Trojan.Encoder.41868 — 5.26%
- Trojan.Encoder.37400 — 3.95%
- Trojan.Encoder.35209 — 3.29%
- Trojan.Encoder.44197 — 2.63%
インターネット詐欺
2026年第2四半期にDoctor Webのインターネットアナリストによって観測された傾向の1つは、ロシアのメッセンジャーアプリ「MAX」の利用者数増加に伴う、このサービスのユーザーを標的とした攻撃の増加でした。攻撃者はこれまでにTelegramやWhatsAppなどといった他のメッセンジャーユーザーに対して用いられていたよく知られた手口を利用しています。たとえば、さまざまな投票イベントを装ってMAXアカウントを盗む詐欺サイトが多数確認されています。ユーザーはコンテストに投票するよう促され、そのために携帯電話番号を入力し、さらにその後に受け取るセキュリティコードも入力してアカウントにログインするよう要求されます。ユーザーが要求されたデータをすべて入力してしまうと、攻撃者がアカウントにアクセスできるようになります。
詐欺師が被害者のMAXメッセンジャーアカウントにアクセスするために使用しているフィッシングサイトの例
第2四半期を通して、投資関連の詐欺サイトに新たなものが登場しています。サイバー犯罪者は最新のトレンドに乗り、AIを前面に押し出したサイトを作成し続けています。そうしたサイトの1つは、ロシアの大手金融機関と関連があるとする新しい投資プロジェクトに参加できるとうたい、投資を支援するためのChatGPTを活用した専用チャットボットにアクセスできると約束しています。ユーザーはこの「プロジェクト」のメンバーになるために個人情報を提供して登録するよう要求されます。
ロシアの大手金融機関と関連があるとする投資プロジェクトへの登録を促し、ChatGPT を活用した専用の金融チャットボットへのアクセスを提供するとうたう詐欺サイト
ロシア語圏のユーザーを誘い込む手口に使用されているのはロシアの金融機関のみにとどまりません。他の国の金融機関名も悪用されています。例として、韓国の銀行と関連があると称する偽の投資サービスサイトが複数確認されています。
ロシア語圏のユーザーに対して韓国の銀行が手掛ける投資プロジェクトへの参加を提供し、200万韓国ウォン以上の収入を約束する詐欺サイトの1つ
第2四半期には、さまざまなサービスのアカウント情報を窃取することを目的としたフィッシングサイトが引き続き多数出現しています。それらの中には運送会社の偽サイトもありました。そうしたサイトの1つはロシアのエクスプレス配送サービスの利用者を標的としたもので、アカウントに紐づけられた携帯電話番号を使用してアカウントにログインするか、またはロシア政府ポータルサイト「Gosuslugi」経由でログインするようユーザーに要求します。1つ目の方法でアカウントにログインした場合でも、その後に「Gosuslugi」による認証を装った2つ目のフィッシングフォームが表示されます。
複数のアカウント(運送会社のサイトとロシア政府ポータルサイト「Gosuslugi」のアカウント)から同時にデータを窃取する詐欺サイト
各国の金融機関を装った新たなフィッシングサイトも確認されています。米国の銀行の預金者を標的にしたサイトでは、口座にログインして「優良顧客」向けの高金利が利用可能かどうか確認するよう促しています。
エクアドルの銀行サイトを模倣したフィッシングサイトは、インターネットバンキングのログインIDとパスワードを入力するようユーザーに要求しています。
また別のフィッシング詐欺は英国のユーザーを標的にしたものでした。駐車違反の罰金を支払うための偽の政府サイトが作成されています。
ユーザーは本人確認のためと称して詳細な個人情報を提供するよう要求され、その後「罰金」を支払うためのページにリダイレクトされます。
給付金などの支払いを受け取ることができるとうたう詐欺も依然として横行しています。一方で、サイバー犯罪者は最新のイベントに合わせて絶えずその内容を変化させ続けています。2026年第2四半期には、ロシア建国記念日の祝賀行事に先駆けて、特別な祝日給付金を約束するロシアの金融機関を装った偽サイトが出現しました。そうしたサイトの1つでは、アンケートに回答するだけで5,000ルーブルから300,000ルーブルを受け取ることができるとしています。
この手口のまた別のバージョンでは、ユーザーはアンケートに回答することで5,000ルーブルの「支援金」を受け取ることができるとされています。
ロシアの一部地域における燃料不足が懸念される中、20リットルから200リットルの燃料無料券の提供を約束するサイトもいくつか出現しました。
いくつかの簡単な質問に答えた後、ユーザーは約束された報酬を受け取るために「本人確認」を行うよう要求されますが、そのために、氏名、携帯電話番号、バンクカード番号を提供する必要があります。詐欺師はこれらの情報を使用してユーザーから金銭を盗むことができます。
2026年第2四半期に確認された詐欺サイトの中にはFIFA(国際サッカー連盟)の偽サイトも含まれていました。これらのサイトではFIFAワールドカップ2026の観戦チケットや公式グッズ、各種プレミアムサービスを購入できるとうたっています。正規サイトと同様に偽サイトでもFIFA IDアカウントへのログインが求められますが、ログインIDとパスワードを入力する認証フォームにはどんなデータを入力しても次へ進めるようになっています。
偽のFIFA IDアカウントログインフォーム
サッカーファンが商品を選択すると、購入手続きに進んで支払いを完了させるよう求められます。支払い手続き中に、ユーザーはDr.Webアンチウイルスデータベースに非推奨サイトとして登録されているWebサイトにリダイレクトされます。
公式ライセンス商品やサービスを購入できるとうたうFIFAの偽サイト
ロシアの偽マーケットプレイスサイトへのリンクを拡散するスパムキャンペーンも複数確認されています。これらの偽サイトは「記念賞品抽選会」に参加するよう誘うもので、最大100万ルーブルの賞金のほか、コンピューターやモバイル端末が当たるチャンスがあると約束しています。
この「キャンペーン」に参加するにはサイト上の該当するボタンをクリックする必要があり、ユーザーがクリックすると賞品抽選プロセスがシミュレートされます。抽選プロセスが何回か実行された後、ユーザーは複数の賞品に当選したと告げられ、賞品そのものをマーケットプレイスのピックアップポイント(受け取り場所)で受け取るか、あるいは賞品の代わりに相当額の現金を銀行振込で受け取るか選択するよう求められます。
賞品のピックアップポイントでの受け取りを選択した場合、賞品は在庫切れだが代わりに現金を受け取ることができるというメッセージが表示され、そのためにバンクカード番号を入力するよう要求されます。
ユーザーが番号を入力すると、次は「当選を正式に登録するため」に手数料を払うよう求められます。
その後ユーザーが賞金を受け取ることはなく、バンクカード情報のみならずお金まで詐欺師に奪われることになります。
モバイルデバイスを脅かす悪意のあるプログラムや望ましくないプログラム
Dr.Web Security Space for mobile devicesによって収集された検出統計によると、2026年第2四半期にはバンキング型トロイの木馬の検出数に減少がみられました。ただし、これらトロイの木馬は依然として最も多く検出されたAndroidマルウェアとなっています。広告を表示させるトロイの木馬Android.HiddenAdsとAndroid.MobiDashの活動も減少を続けています。
最も多く検出されたリスクウェアは、NP Managerツールを使用して改造されたアプリTool.Obfuscator.TrashCodeおよびTool.NPModとなりました。マルウェア作成者は悪意のあるアプリがアンチウイルスによる検出を回避できるようにする目的でこのツールを利用しています。最も多く検出された望ましくないアプリケーションは、存在しない脅威の検出を通知して感染から「修復」するために製品の完全版を購入するよう促す偽アンチウイルスProgram.FakeAntiVirusでした。
最も多く検出されたアドウェアは、ユーザーを騙すような広告を含んだ通知を表示させ機密情報を収集するモジュールAdware.AdPushとなりました。最適化アプリAdware.Bastion.1.originも多く検出されています。これらのアプリは虚偽の通知メッセージ(メモリ不足やシステムエラーに関するものなど)を出し、「最適化」中に広告を表示させます。Adware.Opensite.15の活動も依然として活発でした。このAdware.Opensite.15はゲーム内でリソースを入手するためのチートツールに偽装していますが、実際には広告を含んだWebサイトを開くだけのアプリです。
6月、Doctor WebのエキスパートはAndroid OSのセキュリティ制限を回避してバックグラウンドで広告を表示させるAndroid.MagicAd.1について記事を公表しました。Android.MagicAd.1はサードパーティ製アプリを悪用するほか、感染させたデバイスのメーカーに応じてそれぞれ異なる手法を選択して使用します。
Google Playでは第2四半期を通して、ユーザーを有料サービスに登録させるAndroid.JokerおよびAndroid.Subscriptionファミリーに属する新たなトロイの木馬アプリが発見され、それらは合計で260万回以上ダウンロードされていました。
2026年第2四半期のモバイルマルウェアに関連した注目すべきイベント:
- バンキング型トロイの木馬Android.Bankerが引き続き最も多く検出されたAndroidマルウェアとなる
- バンキング型トロイの木馬をアンチウイルスによる検出から保護するために、Androidアプリ改造ツールが引き続き積極的に使用される
- 広告を表示するトロイの木馬Android.MobiDashとAndroid.HiddenAdsの活動が減少を続ける
- サードパーティ製アプリを悪用してAndroid OS の制限を回避し、バックグラウンドで広告を表示させるトロイの木馬Android.MagicAd.1が発見される
- ユーザーを有料サービスに登録させる新たなトロイの木馬アプリがGoogle Playで検出される
2026年第2四半期のモバイルデバイスを取り巻くセキュリティ脅威の状況についての詳細はモバイルマルウェアレビューをご覧ください。