包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント、
https://www.checkpoint.co.jp/)の脅威インテリジェンス部門、チェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2021年11月の最新版「Global Threat Index(グローバル脅威インデックス)」を公開しました。リサーチャーの報告によると、Trickbotが、最も蔓延しているマルウェアリストの最上位をキープし世界中の組織の5%に影響を及ぼしている一方で、最近活動を再開したEmotetがインデックスの第7位に復活しています。CPRは、最も攻撃を受けた業界が教育・研究分野であることも明らかにしています。
今年既にEuropol(欧州刑事警察機構)と、多数の捜査機関がEmotetの停止に向けて大掛かりな取り組みを行っていたにもかかわらず(https://blog.checkpoint.com/2021/01/28/collaborative-global-effort-disrupts-emotet-worlds-most-dangerous-malware/)、この悪名高いボットネットは11月までに活動再開が確認され、既に最も利用されたマルウェアの第7位となっています。Trickbotは今月で6度目の第1位となっており、Trickbotのインフラストラクチャを利用し感染済みマシンにインストールされる、Emotetの新たな亜種にも関係しています。
Emotetは、それを被害ホストに展開する感染済みのWord、Excel、Zipファイルを含んだフィッシングメールによって拡散されています。メールには、最新の出来事や請求書、偽の社内連絡といった関心を引く件名が含まれ、被害者がそれらを開封するよう誘導される仕組みになっています。ごく最近、EmotetはAdobeソフトウェアになりすました、悪意のあるWindowsアプリインストーラパッケージを介した拡散も始めました。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べています。「Emotetはサイバー史上最も成功したボットネットの1つであり、近年目撃されてきた標的型ランサムウェア攻撃の急増理由にもなっています。このボットネットが11月に復活したことは、そうした攻撃のさらなる増大につながる恐れがあるため、非常に懸念されます。Emotetは現在、Trickbotのインフラストラクチャを使用しています。つまり、Emotetが世界中のネットワークに十分な規模の足掛かりを構築するまでの時間が、短縮されているということです。Emotetは悪意のあるファイルが添付されたフィッシングメールを介して拡散されているため、サイバーセキュリティについて言えば、ユーザの意識向上と教育を組織の最優先事項とすることが非常に重要です。例えば、Adobeソフトウェアをダウンロードしようと考えているユーザは、どのようなアプリケーションの場合も同様ですが、公式の方法だけを利用するよう心がけるべきです。」
さらにCPRは今月、世界中で最も攻撃を受けた業界が教育・研究分野であり、通信、さらに行政・軍事関連が後に続いていると公表しました。Web Servers Malicious URL Directory Traversalは、継続的に最も幅広く付け込まれている脆弱性であり、世界中の組織の44%に影響を与えています。続いてWeb Server Exposed Git Repository Information Disclosureで、世界中の組織の43.7%に影響を及ぼしています。HTTP Headers Remote Code Executionは、最も付け込まれている脆弱性リストの第3位をキープし、世界中の組織の42%に影響を与えています。
11月のマルウェアファミリー上位3種
*矢印は、前月と比較したランキングの変化を示しています。
今月は、Trickbotが最も活発なマルウェアで、世界中の組織の5%に影響を及ぼしています。次いでAgent TeslaとFormbookが、どちらも世界中の組織の4%に影響を与えています。
- ↔ Trickbot – Trickbotは、モジュール型のボットネットとバンキング型トロイの木馬で、新たな機能や配信ベクターを追加して常に更新されています。これにより、柔軟でカスタマイズ可能なマルウェアとなり、多目的のキャンペーンの一環として配信できるようになっています。
- ↑ Agent Tesla – Agent Teslaは、キーロガーや情報窃取の機能を持つ高度なリモートアクセス型トロイの木馬(RAT)です。被害者のキーボード入力やシステムキーボードを監視して情報を収集したり、スクリーンショットを記録したり、被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)の認証情報を流出させたりします。
- ↑ Formbook – 情報窃取型マルウェアFormbookは様々なウェブブラウザから認証情報を入手し、スクリーンショットを収集し、キーストロークを監視および記録します。また、C&Cサーバからの命令を通じてファイルをダウンロードし、実行することも可能です。
※日本での上位3種は、1. Trickbot、2. Formbook、3. AgentTeslaの順に活動が多くありました。
世界中で最も攻撃されている業界
今月は、教育・研究分野が世界中で最も攻撃を受けた業界です。通信、行政・軍事関連がこれに続いています。
- 教育・研究
- 通信
- 行政・軍事関連
最も付け込まれている脆弱性
今月は、Web Servers Malicious URL Directory Traversalが最も頻繁に付け込まれた脆弱性となっており、世界中の組織の44%に影響を及ぼしています。次がWeb Server Exposed Git Repository Information Disclosureで、世界中の組織の43.7%に影響を与えています。HTTP Headers Remote Code Executionは、最も付け込まれた脆弱性リストの第3位をキープし、世界中の42%の組織に影響を及ぼしています。
- ↔ Web Servers Malicious URL Directory Traversal(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 異なるWebサーバに、ディレクトリトラバーサルの脆弱性が存在しています。この脆弱性は、ディレクトリトラバーサルパターンに対してURLを適切にサニタイズしない、Webサーバの入力検証エラーに起因しています。エクスプロイトが成功すると、認証されていないリモートの攻撃者が、脆弱なサーバ上の任意のファイルを開示したり、それらにアクセスしたりできるようになります。
- ↔ Web Server Exposed Git Repository Information Disclosure – Gitリポジトリにおいて情報漏えいに関する脆弱性が報告されています。この脆弱性のエクスプロイトが成功すると、想定されていないアカウント情報の漏えいが生じる可能性があります。
- ↔ HTTP Headers Remote Code Execution(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダを使って、クライアントとサーバにHTTPリクエストで追加の情報を提供させます。リモート攻撃者は脆弱なHTTPヘッダを使用して、被害者のマシン上で任意のコードを実行する可能性があります。
11月のモバイルマルウェア上位3種
今月は、AlienBotが最も蔓延しているモバイルマルウェアの第1位となり、xHelperとFluBotがそれに続いています。
- AlienBot – AlienBotマルウェアファミリーは、Androidデバイス向けのMalware-as-a-Service(MaaS)です。リモート攻撃者はこれを使用して、まず悪意のあるコードを正規の財務アプリケーションに挿入します。攻撃者は被害者のアカウントのアクセス権を取得し、最終的に被害者のデバイスを完全に制御します。
- xHelper – 2019年3月以降出回っている悪意のあるアプリケーションで、他の悪意のあるアプリをダウンロードするために使用され、広告を表示します。このアプリケーションは自身をユーザから隠すことができ、アンインストールされた場合には自身を再インストールすることさえできます。
- FluBot – FluBotはAndroid向けのボットネット・マルウェアで、主に運送業者を騙るフィッシングSMSで配布されます。ユーザがメッセージ内のリンクをクリックしてしまうと、FluBotがインストールされ、携帯電話内のあらゆる機密情報へのアクセス権が取得されてしまいます。
チェック・ポイントのGlobal Threat Impact Index(グローバル脅威インパクトインデックス)とThreatCloud Mapは、チェック・ポイントのThreatCloudインテリジェンスに基づいています。ThreatCloudは、世界中の何億ものセンサーから導出されたリアルタイムの脅威インテリジェンスをネットワーク、エンドポイント、モバイル端末に提供します。そのインテリジェンスは、チェック・ポイントのインテリジェンス&リサーチ部門であるチェック・ポイント・リサーチのAIベースのエンジンと、固有のリサーチデータによって強化されています。
11月の上位10種のマルウェアファミリーの詳細なリストについては、チェック・ポイントのブログ(英語、https://blog.checkpoint.com/)を参照して下さい。
※ 本リリースは、米国カリフォルニア州で2021年12月9日(現地時間)に発表したプレスリリースの抄訳です。英語のリリース全文はこちら(https://www.checkpoint.com/press/2021/november-2021s-most-wanted-malware-emotet-returns-to-the-top-10/)をご確認下さい。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー セキュリティ ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークその他、モバイル デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業が、チェック・ポイント・ソフトウェア・テクノロジーズのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
関連製品・ソリューションについてのお問い合わせ
Marketing_jp@checkpoint.com
