包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. < https://www.checkpoint.com/ > 、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年9月の最新版Global Threat Index(世界脅威インデックス)を発表しました。今回のレポートでは、コロンビアの企業や組織を標的として、リモートアクセス型トロイの木馬(RAT)のRemcosを目立たず配信するために設計された、新たなステルスフィッシングキャンペーンについて報告されています。同マルウェアは国内ランキングでも1位となっています。
また、8月のQbotの壊滅を受け、Formbookが最も流行しているマルウェアリストの首位に躍り出た一方、最も攻撃されている業界のリストでは依然として教育業界が1位となっています。
9月、CPRはコロンビアの様々な業種の著名企業40社以上を標的とした、大規模なフィッシングキャンペーン < https://research.checkpoint.com/2023/guarding-against-the-unseen-investigating-a-stealthy-remcos-malware-attack-on-colombian-firms/ > を発見しました。このキャンペーンは、被害者のコンピューターにRATマルウェアRemcosをこっそりとインストールすることを目的としたものです。9月に最も流行したマルウェアのリストで第2位にランクインしたRemcosは、さまざまな攻撃に使用できることから「スイスアーミーナイフ」に例えられる高度なRTAです。Remcos感染によって一般的に引き起こされる影響としては、データの盗難、二次感染、アカウント乗っ取りなどが挙げられます。
また9月には、8月にFBIがボットネットを掌握したことを受けて、Qbotがトップマルウェアのリストから完全に脱落しました。これにより、2023年の大半の期間に最も流行したマルウェアランキングのトップを独占していたQbotの長きにわたる記録に終止符が打たれました。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「今回コロンビアで発見されたキャンペーンは、攻撃者たちが採用している複雑な回避テクニックの一端を垣間見せてくれます。また、ここで使われているような手法がいかに侵襲的であるか、そして、さまざまなタイプの攻撃から身を守るために何故サイバーレジリエンスを高める必要があるのか、ということを示す、良い一例でもあります」
また、CPRによると、9月に最も悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の47%に影響を及ぼしました。2位は「HTTPへのコマンドインジェクション」で世界的な影響は42%、3位には「Zyxel ZyWALLへのコマンドインジェクション」がランクインし、世界的な影響は39%でした。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
先月最も流行したマルウェアはFormbookで、全世界の組織に与えた影響は3%でした。次いでRemcos(2%)、Emotet(2%)が続く結果となりました。
1. ↑ Formbook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
2. ↑ Remcos – 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付された悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています
3. ↑ Emotet – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
1. ↑Remcos (3.03%) – 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付された悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています
2. ↔ Formbook (2.02%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
3. ↑ AgentTesla(1.26%)– Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
3. ↑ Smokeloader(1.26%)– SmokeLoaderは、感染したコンピュータを遠隔操作し、被害者の地理的位置に基づいて他のマルウェアをダウンロードおよびインストールしたり、FTPクライアント、ブラウザ、IMクライアント、ポーカークライアント、電子メールクライアントからパスワードを盗んだりするなど、さまざまな悪意のある活動を実行できるようにするトロイの木馬です。さらに、UAC(ユーザアカウント制御)やいくつかのHIPSをバイパスすることができ、ウイルス対策ソリューションを無効にする可能性があります。拡散方法はいくつか確認されており、エクスプロイトキットから、「マクドナルドでの無料朝食の提供」を謳ったスパムキャンペーンなどが挙げられます。
世界的に最も攻撃されている業種、業界
9月、世界的に最も攻撃されている業界は、前月に引き続き「教育・研究」で、2位は「通信」、3位は「政府・軍関係」でした。
1. 教育・研究
2. 通信
3. 政府・軍関係
悪用された脆弱性のトップ
9月、最も広く悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の47%に影響を及ぼしました。2位は「HTTPへのコマンドインジェクション」で世界的な影響は42%、3位は「Zyxel ZyWALLへのコマンドインジェクション」で、世界的な影響は39%でした。
1. ↑Webサーバへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
2. ↔ HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。
3. ↑ Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771) – Zyxel ZyWALLにコマンドインジェクションの脆弱性が発見されました。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになります。
モバイルマルウェアのトップ
引き続き、Anubisが最も流行したモバイルマルウェアの首位に留まっています。2位にはAhMyth、3位にはSpinOkが続いています。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
2. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。
3. SpinOk – SpinOkは、スパイウェアとして機能するAndroidソフトウェアモジュールです。デバイス上に保存されたファイルの情報を収集し、悪意ある脅威アクターに転送する機能を有します。この悪質なモジュールは100以上のAndroidアプリ内に存在することが確認され、2023年5月までに4億2,100万回以上ダウンロードされたことが分かっています。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
9月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X(旧Twitter): https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X(旧Twitter):https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
