グローバルランキングでもEmotetは3ヶ月連続で1位となる
CPRによると、国内および世界ランキングにおいて先月に引き続きEmotetが最も流行しているマルウェアとして君臨しています。Emotetにより世界中の組織の10%が影響を受け、その数は2月に比べて倍になっていることが明らかになりました。Emotetは、高度な自己増殖型モジュール型トロイの木馬で、複数の方法で持続性を維持し、検出を回避する技術を使用します。昨年11月のEmotet復活と最近のTrickbotが閉鎖されたというニュース以来、Emotetは最も流行しているマルウェアとしてその地位を強化しています。今月は、復活祭(イースター)をテーマにした様々なフィッシング詐欺など、祭日の話題性を利用したメールキャンペーンが数多く配信され、この傾向はさらに強まっています。これらのメールは世界中の被害者に送られ、ある例では「buona pasqua, happy easter」という件名で、Emotetを配信するための悪意のあるxlsファイルが添付されています。
キーロガーや情報窃取の機能を持つ高度なリモートアクセス型トロイの木馬(RAT)「Agent Tesla」は、先月2月のレポートで4位に登場した後、今月は2番目に多く流行しているマルウェアとなりました。Agent Teslaの増加は、世界中で悪意のあるxlsx/pdfファイルを介してRATを配信する、いくつかの新しい不正スパムキャンペーンによるものです。これらのキャンペーンの中には、ロシア・ウクライナ紛争を利用して被害者を誘い出すものもあります。
近年の技術の進歩により、サイバー犯罪者が企業ネットワークに侵入するためには、人間の信頼に頼らざるを得ない状況になりつつあります。 イースターといった季節の変わり目をテーマにしたフィッシングメールを送信することにより、その話題性を利用して、Emotetのようなマルウェアを含む不正な添付ファイルをダウンロードさせます。イースターの週末に向けて、このような詐欺がさらに増えることが予想されますので、たとえ信頼できる送信元からのメールであったとしても、ユーザは十分に注意する必要があります。祝日はイースターだけではありません。サイバー犯罪者は今後も同じ手口で被害を増やし続けることでしょう。また、今月は、Apache Log4jが再び最も悪用される脆弱性の第1位となったことが確認されています。昨年末にこの脆弱性が話題になった後でも、最初の検出から数ヶ月が経過した今でも被害が発生しています。組織は、攻撃を未然に防ぐために、早急に対策を講じる必要があります。
また今月は、教育・研究分野が依然として世界中で最も攻撃されている業界であり、政府・軍関係、インターネットサービスプロバイダ(ISP)、マネージドサービスプロバイダ(MSP)がそれに続いていることを明らかにしました。「Webサーバ公開型Git Repositoryの情報漏洩」は現在2番目に多く悪用されている脆弱性で、世界中の26%の組織に影響を与えており、「Apache Log4j のリモートコード実行」は、33%の組織に影響を与え、1位になっています。「HTTPヘッダーのリモートコード実行 (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756)」は、全世界で26%の組織が影響を受けたとして、3位をキープしています。
イースターをテーマにしたフィッシングメールの例
日本での2022年3月の上位マルウェアファミリー
*矢印は、前月と比較した順位の変化に関するものです。
3月は、先月に引き続き「最恐のマルウェア」とも称されるEmotetが1位となり、日本企業の12.52%に影響(※1)を与えました。これは同率2位のnjRat、Remcos(0.74%)よりも遥かに高い影響となっています。
- 1. ↔ Emotet – 先月に引き続き、日本でのランキングでEmotetが1位となりました。2月時点でEmotetは日本企業の4.75%に影響していたのに対し、3月はその2倍以上の12.52%に跳ね上がっています。Emotet は非常に高度なモジュール型トロイの木馬で、自己増殖をします。かつてはバンキング型トロイの木馬として使用されていましたが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われています。特徴として、持続性を維持する様々な方法と回避技術が搭載されており、検出を巧妙に回避します。Emotetは悪意のある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
- 2. ↑njRat – njRATは、主に中東の政府機関や組織をターゲットとしたリモートアクセス型のトロイの木馬です。このトロイの木馬は、2012年に初めて登場し、キー入力のキャプチャ、被害者のカメラへのアクセス、ブラウザに保存された認証情報の盗用、ファイルのアップロードとダウンロード、プロセスやファイルの操作、被害者のデスクトップの表示などの機能を備えています。njRATは、フィッシング攻撃やドライブバイダウンロードを介して被害者に感染し、コマンド&コントロールサーバーソフトウェアのサポートにより、感染したUSBキーやネットワークドライブを通じて伝播します。
- 2. ↑Remcos – Remcosは、2016年に初めて野生化したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布され、Microsoft Windowsのユーザーアカウント制御(UAC)セキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
グローバルの上位マルウェアファミリー
今月は、世界でもEmotetが依然として最も流行したマルウェアで、全世界の組織の10%に影響を与え、Agent TeslaとXMRigがそれぞれ2%の組織に影響を与え、これに続いています。
- ↔ Emotet – 日本のランキングでも1位となったEmotet ですが、世界的にも大きな影響力を持っています。Emotetはグローバルランキングにて、1月より3ヶ月連続で1位となっています。
- ↑ Agent Tesla – Agent Tesla は、キーロガーおよび情報窃盗犯として機能する高度な RAT で、被害者のキーボード入力、システムキーボードを監視および収集し、スクリーンショットを撮り、被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlook メールクライアントなど)の認証情報を流出させることが可能です。
- ↑ XMRig – XMRigは、暗号通貨Moneroの採掘プロセスに使用されるオープンソースのCPUマイニングソフトウェアで、2017年5月に初めて登場しました。
世界的に攻撃された上位の業種
今月は、世界で最も攻撃されている産業の1位が教育・研究、次いで政府・軍関係、ISP・MSPとなっています。
- 教育・研究
- 政府・軍関係
- ISP・MSP
世界的に悪用された脆弱性のトップ
今月は、「Apache Log4j のリモートコード実行」が最も多く、全世界の33%の組織に影響を与えており、次いで「Webサーバ公開型Git Repositoryの情報漏洩」が1位から2位に下がり、全世界の26%の組織に影響を及ぼしています。「HTTPヘッダーのリモートコード実行」は、悪用された脆弱性のトップリストの3位にとどまっており、世界的な影響度は26%に達しています。
- ↑ Apache Log4j のリモートコード実行 (CVE-2021-44228) – Apache Log4j に、リモートコード実行の脆弱性が存在します。この脆弱性を悪用されると、リモートの攻撃者に、影響を受けるシステム上で任意のコードを実行される可能性があります。
- ↓ Webサーバ公開型Git Repositoryの情報漏洩 – Git Repositoryに情報漏洩の脆弱性があることが報告されています。この脆弱性を悪用されると、意図せずにアカウント情報が漏洩する可能性があります。
- ↔ HTTPヘッダーのリモートコード実行 (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバーがHTTPリクエストで追加情報を渡すことを可能にします。リモートの攻撃者は、脆弱な HTTP ヘッダーを使用して、被害者のマシン上で任意のコードを実行することができます。
世界的なモバイルマルウェアのトップ
3月は、AlienBotが最も流行しているモバイルマルウェアで、xHelperとFluBotがそれに続いています。
- AlienBot:AlienBotマルウェアファミリーは、Androidデバイス向けのMalware-as-a-Service(MaaS)で、遠隔地の攻撃者が最初のステップで、正規の金融アプリケーションに悪質なコードを注入することを可能にします。攻撃者は被害者のアカウントへのアクセスを取得し、最終的には被害者のデバイスを完全に制御します。
- xHelper:2019年3月より野放しで見られる悪質なアプリで、他の悪質なアプリのダウンロードや広告の表示に使用されます。このアプリケーションはユーザーから自身を隠すことができ、アンインストールすると自身を再インストールすることが可能です。
- FluBot:FluBotは、フィッシングSMSメッセージ(Smishing)を介して配布されるAndroidマルウェアで、多くの場合、物流配送ブランドになりすまします。ユーザがメッセージ内のリンクをクリックすると、FluBotを含む偽のアプリケーションのダウンロードにリダイレクトされます。一度インストールされたマルウェアは、連絡先リストのアップロードや他の電話番号へのSMSメッセージの送信など、認証情報を採取し、スミッシングの操作自体をサポートするさまざまな機能を備えています。
※1:本レポートで使用されている統計およびデータ、Global Threat Impact Index およびThreatCloud Map は、チェック・ポイントの ThreatCloud インテリジェンスによって提供されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られたリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自の調査データによって強化されています。
3月のマルウェア・ファミリー世界ランキング10件のリストは、チェック・ポイントのブログ <https://blog.checkpoint.com/2022/04/12/march-2022s-most-wanted-malware-easter-phishing-scams-help-emotet-assert-its-dominance/ >でご覧いただけます。
本プレスリリースは、米国時間2022年4月12日に発表されたプレスリリース(英語)<https://www.checkpoint.com/press/2022/march-2022s-most-wanted-malware-easter-phishing-scams-help-emotet-assert-its-dominance/>をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ:https://research.checkpoint.com/
Twitter:https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
製品・ソリューションについてのお問い合わせ
Marketing_jp@checkpoint.com