包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年8月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
今回のインデックスでは今年1月の再登場以来最も流行しているマルウェアとして君臨していたEmotetが首位から陥落し、FormBookがトップとなりました。 国内ランキングでもFormBookが1位となり、2位には7月まで国内6か月連続首位のEmotetをはじめAgentTesla、Remcos、XMRigが影響力同値で並んでいます。
FormBookはWindows OSを標的とするインフォスティーラーであり、プログラムの実行により認証情報の窃取、スクリーンショットの収集、キーストロークの監視と記録、C&C(コマンド&コントロール)サーバの命令に応じたファイルのダウンロードと実行などの侵害行為が可能となります。2016年に初めて発見されて以来マルウェアとしての知名度は高まり続けており、アンダーグラウンドのハッキングフォーラムで「Malware-as-a-Service(MaaS)」として販売され、強力な検知回避技術と比較的安価に入手できることで知られます。
また、この8月にはGuLoaderの活動が急激に活発さを増し、広く普及したマルウェアの第4位にランクインしました。GuLoaderは当初Parallax RATのダウンローダとして使用されており、その後Netwierや FormBook、AgentTeslaなどのリモートアクセス型トロイの木馬やインフォスティーラーにも採用されています。GuLoaderは電子メールを用いた大規模なフィッシング詐欺キャンペーンを通じて拡散されることが多く、用いられるフィッシングメールは被害者を誘導して悪意あるファイルをダウンロード、開封させ、マルウェアの実行を可能にします。
さらにAndroid向けスパイウェアであるJokerが復活し、8月のモバイルマルウェアのトップリスト第3位に入りました。Jokerのインストールにより、SMSメッセージ、連絡先リスト、デバイス情報の窃取に加え、被害者の同意なしに有料プレミアムサービスへのサインアップが行われる被害が発生する可能性があります。先般Google Play ストアで配信される一部のアプリでJokerがアクティブな状態にあることが確認されており<https://tendomag.com/joker-virus-continues-to-haunt-google-found-in-these-8-android-apps/>、Jokerの活発化の一因は攻撃キャンペーンの増加にあると見られます。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz) は、次のように述べています。
「今回のインデックスではEmotetが1位から5位へと転落し、Jokerが最も流行しているモバイルマルウェアの3位となりました。この変容は、脅威情勢の急速な変化を反映しています。これは個人や企業にとって、最新の脅威に関する情報を把握し、自衛策を講じる手段を知っておくことの重要性を再認識させるものです。脅威アクターは常に進化しています。そしてFormBookの出現は、私たちが現在のセキュリティに満足することなく、ネットワーク、エンドポイント、クラウドのすべてにわたり予防を第一に考えた包括的なアプローチを採用すべきことを示しています」
またサイバー犯罪者による攻撃が世界的に最も集中した業界は8月も引き続き「教育・研究」分野となり、2位に「政府・軍関係」、3位に「保健医療」がランクインしています。最も悪用された脆弱性では「Apache Log4jのリモートコード実行」が再び首位となり、全世界の44%の組織に影響を及ぼしています。前回1位だった「Webサーバ公開型Gitリポジトリの情報漏えい」は全世界の組織の42%に影響を与え、2位となりました。
日本国内の上位マルウェアファミリー
* 矢印は、前月との比較における順位の変動を示します。
8月はグローバルと同様、FormBook (0.14%)が1位となりました。2 位には前月まで6か月連続で首位にあったEmotetと、AgentTesla、Remcos、XMRigが、いずれも0.09%の影響値で並ぶ結果となりました。
1. ↑ FormBook – 3月より日本ランキングのトップ3に入り続けているFormBookは、Windows OSを標的とするインフォスティーラーです。7月には0.58%の国内企業に影響を与え、8月は0.14%と数値は落ち着いたものの首位に立ちました。2016年に初めて検出された同マルウェアは、強力な回避技術と比較的安価な価格帯でハッキングフォーラムにて「Malware as a Service (MaaS)」として販売されています。様々なWebブラウザから認証情報を盗みとり、スクリーンショットを収集します。また、キーストロークの記録、C&C(コマンド&コントロール)サーバの命令に従い、ファイルをダウンロードし実行します。
2. ↑ Agent Tesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
2. ↔ Remcos – 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
2. ↓ Emotet – 2月より6か月連続で国内ランキングのトップに君臨した非常に高度なモジュール型トロイの木馬で、自己増殖します。8月には影響値0.09%となり、他のマルウェアとともに同率2位となりました。かつてはバンキング型トロイの木馬として使用されていたEmotetですが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われています。持続性を維持する様々な方法と検出を巧妙に回避する技術が搭載されており、Emotetは悪意のある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。6月中には新たに変異型も確認され<https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-credit-cards-from-google-chrome-users/?utm_source=BenchmarkEmail&utm_campaign=0721_June_Monthly_Top_Malware&utm_medium=email>、Chromeブラウザのユーザーを標的としてクレジットカード情報を窃取する機能が報告されています。
2. ↑XMRig – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。
グローバルで活発な上位のマルウェアファミリー
*矢印は前月との比較における順位の変動を示します。
8月はFormBookが最も普及したマルウェアとなり、全世界の組織の5%に影響を及ぼしました。2位は全世界の組織の4%に影響を与えたAgentTesla、3位は2%に影響を与えたXMRigが続きます。
1. ↑ FormBook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
2. ↑ Agent Tesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
3. ↓ XMRig – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。
世界で最も攻撃されている業種、業界
前月に引き続き、世界的に最も攻撃されている業界は「教育・研究」でした。続く2位は「政府・軍関係」、3位は「保健医療」となっています。
1. 教育・研究
2. 政府・軍関係
3. 保健医療
悪用された脆弱性のトップ
8月、最も広く悪用された脆弱性は「Apache Log4jのリモートコード実行」で、全世界の44%の組織に影響を及ぼしています。続いて、前月1位だった「Webサーバ公開型Gitリポジトリの情報漏えい」が42%に影響を与え2位となっています。「Webサーバへの悪意あるURLによるディレクトリトラバーサル」は引き続き3位にとどまり、全世界の組織への影響は39%でした。
1. ↑ Apache Log4jのリモートコード実行(CVE-2021-44228)Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
2. ↓ Webサーバ公開型Gitリポジトリの情報漏えい Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
3. ↔ Webサーバへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260)複数の異なるWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURLを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報漏えいにつながります。
モバイルマルウェアのトップ
8月に最も流行したモバイルマルウェアはAlienBotで、AnubisとJokerがそれに続いています。
1. AlienBot – AlienBotマルウェアファミリーはAndroidデバイス向けのMaaSです。リモートの攻撃者が攻撃の第一段階において悪意あるコードを正規の金融アプリケーションに注入することを可能にします。攻撃者は被害者のアカウントへのアクセス権を取得し、最終的には被害者のデバイスを完全に制御します。
2. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
3. Joker – JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者の同意や認識を得ずに有料のプレミアムサービスに登録することも可能です。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
8月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます:https://blog.checkpoint.com/2022/09/14/augusts-top-malware-emotet-knocked-off-top-spot-by-formbook-while-guloader-and-joker-disrupt-the-index/
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud <https://www.checkpoint.com/infinity-vision/threatcloud/>に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
