世界的にもEmotet(エモテット)の横暴は続き、ウクライナ情勢に便乗した悪質なメールキャンペーンも確認
CPRの調査において、2月に最も流行したマルウェアはEmotet(エモテット)で、日本と世界のランキング両方で1位となりました。また、ロシアとウクライナの紛争に乗じたフィッシングメールで、Emotetが悪用されたことも確認しています。
日本での2022年2月の上位マルウェアファミリー
*矢印は、前月と比較した順位の変化に関するものです。
2月は、「最恐のマルウェア」とも称されるEmotetが日本企業の4.75%に影響(※1)を与え、1位となりました。これは2位のFormbook(2.01%)よりも2倍以上の影響力となっており、Trickbot(トリックボット)は僅差の1.65%で3位となりました。
- ↑Emotet – 1月のランキングでは4位だったEmotetが1位となりました。1月時点でEmotetは日本企業の1.37%に影響していたのに対し、2月は約3.5倍の4.75%となっています。Emotet は非常に高度なモジュール型トロイの木馬で、自己増殖をします。かつてはバンキング型トロイの木馬として使用されていましたが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われています。特徴として、持続性を維持する様々な方法と回避技術が搭載されており、検出を巧妙に回避します。Emotetは悪意のある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
- ↑Formbook – FormBookは、Windows OSを標的とするインフォスティーラーで、2016年に初めて検出されました。1月時点で日本順位は3位でしたが、最新レポートでは2位となりました。強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは、「Malware as a Service (MaaS)」 として販売されています。FormBookは、さまざまなWebブラウザから認証情報を盗みとり、スクリーンショットを収集します。また、キーストロークの記録、C&C(コマンド&コントロール)サーバの命令に従い、ファイルをダウンロードし実行します。
- ↓Trickbot – 1月に2.97%の日本企業に影響を与えたTrickbotは、2月には1.65%に下がり3位となりました。Trickbotは、サイバー犯罪組織WizardSpiderに起因するモジュール型バンキング型トロイの木馬です。主にスパムキャンペーンや、Emotet や BazarLoader などの他のマルウェアファミリーを介して配信されます。Trickbotは、感染したシステムに関する情報を送信し、リモートコントロール用のVNCモジュールや侵害されたネットワーク内で拡散するためのSMBモジュールなど、利用可能な多数のモジュールから任意のモジュールをダウンロードして実行することも可能です。マシンが感染すると、このマルウェアの背後にいる脅威者は、ターゲットPCから銀行の認証情報を盗むだけでなく、全社的な標的型ランサムウェア攻撃を行う前に、ターゲット組織自体への横移動と偵察のためにこの広範なモジュールを利用します。
ロシアとウクライナの紛争に乗じた攻撃
今月、CPRは、サイバー犯罪者がロシアとウクライナの紛争に乗じて、悪意のある添付ファイルをダウンロードさせようとしていることを確認しました。Emotetは、実際にこのような行為をしており、「Recall: Ukraine -Russia Military conflict: Welfare of our Ukrainian Crew member」という件名の悪質なファイルを含むメールが送信されています。
「現在、Emotetを含む多くのマルウェアが、ロシアとウクライナの紛争に関する国民の関心に乗じて、この話題に関するメールキャンペーンを行い、悪意のある添付ファイルをダウンロードさせるように誘い込んでいます。送信者のメールアドレスが本物であることを常に確認し、メール内の誤字脱字に注意し、そのメールが安全であることが確認できない限り、添付ファイルを開いたりリンクをクリックしたりしないことが重要です」と、チェック・ポイントのリサーチ担当VP、マヤ・ホロウィッツ(Maya Horowitz)は述べています。
グローバルの上位マルウェアファミリー
世界的に見ても、Emotet は依然として最も流行しているマルウェアで、世界中の組織の5%に影響を与えています。3%の組織に影響を与えているFormbook、2%の組織に影響を与えているGruptebaがそれに続きます。
- ↔ Emotet – 日本でも1位となったEmotetは先月に引き続き、グローバルランキングで1位となりました。
- ↑ Formbook – 1月のグローバルランキングで3位だったFormbookは、2位となりました。
- ↑ Glupteba – 2月の日本ランキングに入っていないGluptebaは、世界的には3位という結果になりました。このマルウェアは徐々にボットネットに成熟していくバックドアで、2019年までに、公開BitCoinリストを介したC&Cアドレス更新メカニズム、不可欠なブラウザステアラー機能、ルーターエクスプロイターを搭載しました。
世界的に攻撃された上位の業種
CPRは、教育・研究分野が引き続き世界的に最も攻撃されている産業であることを明らかにし、政府・軍関係、ISP・MSPがそれに続いていることを明らかにしました。
- 教育・研究
- 政府・軍関係
- ISP・MSP
世界的に悪用された脆弱性のトップ
今月は、「Web Server Exposed Git Repository Information Disclosure」が、最もよく悪用される脆弱性で、世界の46%の組織に影響を与えており、「Apache Log4j Remote Code Execution」は、1位から2位に下がり、世界の44%の組織に影響を与えています。「HTTP Headers Remote Code Execution」は、最も悪用されている脆弱性の第3位で、全世界で41%の影響を及ぼしています。
- ↑ ウェブサーバが公開するGit Repositoryの情報漏えい – Git Repositoryに情報漏えいの脆弱性があることが報告されています。この脆弱性を悪用されると、意図せずにアカウント情報が漏えいする可能性があります。
- ↓ Apache Log4j のリモートコード実行 (CVE-2021-44228) – Apache Log4j に、リモートコード実行の脆弱性が存在します。この脆弱性を悪用されると、リモートの攻撃者に、影響を受けるシステム上で任意のコードを実行される可能性があります。
- ↔ HTTP ヘッダ リモートコード実行 (CVE-2020-10826,CVE-2020-10827,CVE-2020-10828,CVE-2020-13756) – HTTPヘッダにより、クライアントとサーバは HTTP リクエストで追加の情報を受け渡します。リモートの攻撃者は、脆弱な HTTP ヘッダを使用して、被害者のマシンで任意のコードを実行することができます。
世界的なモバイルマルウェアのトップ
2月は、XLoaderが最も流行しているモバイルマルウェアでした。xHelper、AlienBotがそれに続いています。
- XLoader – XLoaderは、中国のハッカーグループであるYanbian Gangによって開発されたAndroidスパイウェアおよびバンキング型トロイの木馬です。このマルウェアは、DNSスプーフィングを使用して、感染したAndroidアプリを配布し、個人情報や金融情報を収集します。
- xHelper(エックスヘルパー) – 2019年3月以降に確認されている悪質なアプリケーションで、他の悪質なアプリのダウンロードや広告の表示に使用されます。このアプリケーションは、ユーザーから自身を隠すことができ、アンインストールされた場合に自身を再インストールすることができます。
- AlienBot – AlienBotマルウェアファミリーは、Androidデバイス向けのMalware-as-a-Service(MaaS)で、遠隔地の攻撃者がまず正規の金融アプリケーションに悪意のあるコードを注入した後、攻撃者が被害者のアカウントへのアクセスを取得し、最終的にデバイスを完全に制御できるようにするものです。
※1:本レポートで使用されている統計およびデータ、Global Threat Impact Index およびThreatCloud Map は、チェック・ポイントの ThreatCloud インテリジェンスによって提供されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られたリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自の調査データによって強化されています。
2月のマルウェア・ファミリー世界ランキング10件のリストは、チェック・ポイントのブログ<https://blog.checkpoint.com/2022/03/09/february-2022s-most-wanted-malware-emotet-remains-number-one-while-trickbot-slips-even-further-down-the-index/ >でご覧いただけます。
本プレスリリースは、米国時間2022年3月9日に発表されたプレスリリース(英語)<https://www.checkpoint.com/press/2022/february-2022s-most-wanted-malware-emotet-remains-number-one-while-trickbot-slips-even-further-down-the-index/ >をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ:https://research.checkpoint.com/
Twitter:https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Facebook: https://www.facebook.com/checkpointjapan
【製品・ソリューションについてのお問い合わせ】
Marketing_jp@checkpoint.com