チェック・ポイント、4月に最も活発だったマルウェアを発表 Emotet(エモテット)が国内で3カ月連続トップに

​包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント) の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年4月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
CPRによると、高度な自己増殖型モジュール型トロイの木馬であるEmotet(エモテット)は、依然として最も活発なマルウェアで、世界の6%の組織と日本の5.2%の組織に影響を与えています。その他上位にランクインしたすべてのマルウェアに順位の変動がありました。TofseeとNanocoreはランキングから外れ、代わりにFormbookとLokibotが、それぞれ2番目と6番目に活発なマルウェアとなりました。

3月にEmotetのスコアが高かった(世界: 10%, 日本: 12.5%)のは、主にイースターをテーマにした特定の詐欺によるものでしたが、< https://prtimes.jp/main/html/rd/p/000000103.000021207.html > 今月は、Microsoft < https://techcommunity.microsoft.com/t5/microsoft-365-blog/helping-users-stay-safe-blocking-internet-macros-by-default-in/ba-p/3071805 > がOfficeファイルに関連する特定のマクロを無効にすることを決定し、Emotetが通常配信される方法に影響を与えたため減少したと説明することもできます。実際、Emotetの新しい配信方法として、OneDriveのURLを含むフィッシングメールを使用することが報告されています。< https://threatpost.com/emotet-back-new-tricks/179410/ > Emotetは、マシンの保護をバイパスすることに成功した後、多くの用途に使用されます。その洗練された感染力と同化技術により、Emotet は、ダークウェブフォーラムでサイバー犯罪者に他のマルウェア(バンキング型トロイの木馬、ランサムウェア、ボットネットなど)を提供することもあります。その結果、Emotet の侵害が発見されたとしても、どのマルウェアが運ばれたかによって、被害が異なる可能性があります。

このほか、不正プログラム「Lokibot」< https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=6549 > は、正規の請求書に見せかけたxlsxファイル経由で不正プログラムを配信するスパムキャンペーンを行い、世界ランクで6位に再浮上しています。LokibotとFormbookの台頭は、他のマルウェアの順位に影響を与え、高度なリモートアクセス型トロイの木馬(RAT)AgentTesla < https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=8162 > は、2位から3位に転落しています。日本ではAgentTeslaは5位から4位へと順位を上げています。

また、3月末にSpring4Shellと呼ばれるJava Spring Framework < https://blog.checkpoint.com/2022/03/31/vulnerability-discovered-in-java-spring-framework-check-point-customers-using-cloudguard-appsec-preemptive-protection-are-fully-protected-from-spring4shell-attacks/ > に重大な脆弱性が発見され、それ以降、多数の脅威者がこの脅威を利用して、今月世界で9番目に流行しているマルウェアでDDosに関係するMirai < https://threatpoint.checkpoint.com/ThreatPortal/threat?threatType=malwarefamily&threatId=6417 >を拡散させています。   

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べています。
「サイバー脅威の状況は常に進化しており、Microsoftなどの大企業がサイバー犯罪者が活動できるパラメータに影響を与えているため、脅威者はマルウェアの配布方法についてよりクリエイティブにならざるを得ない状況になってきています。さらに今月は、Spring4Shellの脆弱性が大きな話題となりました。この脆弱性はまだトップ10には入っていませんが、世界の35%以上の組織がすでに影響を受けていることは注目に値します」

また、CPRは今月、教育・研究分野が依然として世界的にサイバー犯罪者に最も狙われている業界であることを明らかにしました。最も悪用された脆弱性は「Webサーバ公開型Git Repositoryの情報漏洩」で、全世界の46%の組織に影響を与え、「Apache Log4j のリモートコード実行 (CVE-2021-44228)」がそれに続いています。「Apache Struts ParametersInterceptor ClassLoaderのセキュリティバイパス」は、全世界で45%の影響を与え、3位にランクインしています。

日本での2022年4月の上位マルウェアファミリー
*矢印は、前月と比較した順位の変動に関するものです。
2月、3月に続きEmotetが1位となり、5.2%の日本企業に影響を与えました。Formbook (1.79%)、XMRig(1.43%)がそれに続く結果となっています。
  1. ↔ Emotet –  3ヶ月連続でトップに君臨したEmotet は非常に高度なモジュール型トロイの木馬で、自己増殖します。2月には12.52%の日本企業に影響を与え、猛威をふるっていましたが、4月には半分以下の5.2%へと落ち着いています。かつてはバンキング型トロイの木馬として使用されていたEmotetですが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われています。特徴として、持続性を維持する様々な方法と回避技術が搭載されており、検出を巧妙に回避します。Emotetは悪意のある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
  2. ↑Formbook – 3月にはランキングのトップ3から外れたFormbookですが、4月FormBookには2位に返り咲きました。Windows OSを標的とするインフォスティーラーで、2016年に初めて検出された同マルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは、「Malware as a Service (MaaS)」 として販売されています。さまざまなWebブラウザから認証情報を盗みとり、スクリーンショットを収集します。また、キーストロークの記録、C&C(コマンド&コントロール)サーバの命令に従い、ファイルをダウンロードし実行します。 
  3. ↑ XMRig – 3月のグローバルランキングで3位となったXMRigが、4月には初めて日本でもランクインしました。XMRigは、暗号通貨Moneroを採掘するために使用されるオープンソースのCPUマイニングソフトウェアです。脅威者は、このオープンソースソフトウェアをマルウェアに組み込んで悪用し、被害者の端末で違法なマイニングを行う可能性があります。

グローバルでの2022年4月の上位マルウェアファミリー
*矢印は前月比の順位変動に関するものです。
今月もEmotetが最も人気のあるマルウェアで、全世界の6%の組織に影響を与えており、僅差で3%の組織に影響を与えているFormbook、全世界で2%の影響を与えているAgentTeslaがそれに続いています。
  1. ↔ Emotet – 日本でも1位となったEmotet は、グローバルランキングにおいて1月より1位に君臨し続けています。
  2. ↑ Formbook – 日本での傾向と同じく、3月にはトップ3から外れたFormbookでしたが4月では2位にランクインしています。
  3. ↓ Agent Tesla – 日本では4位にランクインしていたAgent Teslaですが4月のグローバルランキングでは3位となりました。キーロガーおよび情報窃盗犯として機能する高度なRATで、被害者のキーボード入力、システムキーボードの監視と収集、スクリーンショットの撮影、および被害者のマシンにインストールされたさまざまなソフトウェア(Google Chrome, Mozilla Firefox, Microsoft Outlookなど)への認証情報の流出が可能です。

世界で最も攻撃されている業種、業界
先月に引き続き、世界的に最も攻撃されている産業は「教育・研究」、次いで「政府・軍関係」、「ISP・MSP」となりました。
  1. 教育・研究
  2. 政府・軍関係
  3.  ISP・MSP

悪用された脆弱性のトップ
今月は、「Webサーバ公開型Git Repositoryの情報漏洩」が最も悪用された脆弱性で、全世界の組織の46%に影響を与えており、" 「Apache Log4j のリモートコード実行 (CVE-2021-44228)」が僅差で続いています。「Apache Struts ParametersInterceptor ClassLoaderのセキュリティバイパス」は、世界的に45%の影響を与え、悪用される脆弱性のトップリストの3位となりました。
  1. ↑ Webサーバ公開型Git Repositoryの情報漏洩 - Git Repository には、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、意図せずアカウント情報が漏洩する可能性があります。
  2. ↓ Apache Log4j のリモートコード実行 (CVE-2021-44228) - Apache Log4j には、リモートでコードを実行される脆弱性が存在します。この脆弱性を悪用されると、リモートの攻撃者に、影響を受けるシステム上で任意のコードを実行される可能性があります。
  3. ↑ Apache Struts ParametersInterceptor ClassLoaderのセキュリティバイパス (CVE-2014-0094,CVE-2014-0112,CVE-2014-0113,CVE-2014-0114) - Apache Struts には、セキュリティバイパスによる脆弱性が存在します。この脆弱性は、ParametersInterceptor で処理されるデータの検証が不十分なため、ClassLoader の操作を許してしまうことによるものです。リモートの攻撃者は、リクエストにクラスパラメータを指定することで、この脆弱性を利用することができます。

モバイルマルウェアのトップ
今月は、AlienBotが最も多く、FluBotとxHelperがそれに続くモバイルマルウェアです。
  1. AlienBot - AlienBotは、Android端末向けのMalware-as-a-Service(MaaS)であり、遠隔地の攻撃者が、最初のステップで、正規の金融アプリケーションに不正なコードを注入することを可能にするものです。攻撃者は、被害者のアカウントへのアクセスを取得し、最終的に被害者のデバイスを完全に制御します。
  2. FluBot - FluBotは、フィッシングSMSメッセージ(Smishing)を介して配布されるAndroidマルウェアで、多くの場合、物流配送ブランドになりすまします。ユーザがメッセージ内のリンクをクリックすると、FluBotを含む偽のアプリケーションのダウンロードにリダイレクトされます。インストールされたマルウェアは、連絡先リストのアップロードや他の電話番号へのSMSメッセージの送信など、認証情報を採取し、スミッシングの操作自体をサポートするさまざまな機能を備えています。
  3. xHelper - 2019年3月以降に確認された悪質なアプリケーションで、他の悪質なアプリケーションのダウンロードや広告の表示に使用されます。このアプリケーションは、ユーザから自身を隠したり、アンインストールされた場合に自身を再インストールしたりすることが可能です。

チェック・ポイントの Global Threat Impact Index と ThreatCloud Map は、チェック・ポイントの ThreatCloud インテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >  は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。

4月のマルウェア・ファミリ上位10件の完全なリストは、チェック・ポイントのブログ < https://blog.checkpoint.com/2022/05/11/april-2022s-most-wanted-malware-a-shake-up-in-the-index-but-emotet-is-still-on-top/ > でご覧いただけます。

本プレスリリースは、米国時間2022年5月11日に発表されたプレスリリース(英語) < https://www.checkpoint.com/press/2022/april-2022s-most-wanted-malware-a-shake-up-in-the-index-but-emotet-is-still-on-top/ > をもとに作成しています。

 
Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。 
ブログ:https://research.checkpoint.com/ 
Twitter:https://twitter.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。 

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・Twitter: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 
※以下、メディア関係者限定の特記情報です。個人のSNS等での情報公開はご遠慮ください。
このプレスリリースには、メディア関係者向けの情報があります。

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。
※内容はプレスリリースにより異なります。

  1. プレスリリース >
  2. チェック・ポイント・ソフトウェア・テクノロジーズ株式会社 >
  3. チェック・ポイント、4月に最も活発だったマルウェアを発表 Emotet(エモテット)が国内で3カ月連続トップに