チェック・ポイント、2022年7月に最も活発だったマルウェアを発表Emotetは減少、それでも国内外で依然トップに

カリフォルニア州サンカルロス – 2022年8月12日　包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2022年７月の最新版Global Threat Index（世界脅威インデックス）を発表しました。今回のレポートでは、Emotet（エモテット）の世界的な影響力は前月と比較して50％減少していますが、Emotetそのものは最も広く使用されているマルウェアとして君臨し続けていることが明らかにされています。国内ランキングでもEmotetが1位となり、2月より6ヶ月連続で1位となっています。

6月に世界的な影響力の数値がピークを迎えたEmotetですが、７月にはその影響力は通常の数値に戻りました。過去にもEmotetは夏の間活動が鈍くなったことがありましたが、今回もそれに似た形でピークが終息したのではないかと考えられます。しかし、依然として最も広く使用されるマルウェアであり、Emotetに対する新たな機能の追加や改良は常に見られ、クレジットカード情報を盗む最新のモジュール開発や拡散システムへの適応が確認されています。

また、認証情報を窃取するマルウェアであり、世界ランキングで前回３位だったSnake Keyloggerが８位へ下がりました。前月までの報告によれば、Snake Keyloggerは悪意あるWord文書等を介して拡散されていました。しかしMicrosoftがマクロをデフォルトでブロックすると決定したこと < https://docs.microsoft.com/en-us/deployoffice/security/internet-macros-blocked > が、Snake Keyloggerの減少の一因となったのではないかと考えられます。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz） は、次のように述べています。
「Emotetは、毎月のトップマルウェアチャートで上位を占め続けています。このボットネットは、持続性と回避性能の高さを維持するために、常に進化し続けています。最新の開発にはクレジットカード情報を盗むモジュールも含まれており、企業や個人がオンライン購入を行う際には格別の注意が必要です。加えて、Microsoftがマクロをデフォルトでブロックすることを確定したことで、Snake Keyloggerのようなマルウェアがその手口を今後どのように変えてくるか、情報が待たれるところです」

また、CPRが明らかにしたところによると、７月は「Webサーバ公開型Gitリポジトリの情報漏えい」が最も広く悪用された脆弱性の第１位に上昇し、全世界の43％の組織に影響を及ぼしています。第２位には「Apache Log4jのリモートコード実行」が41％の僅差でそれに続いており、第３位は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、世界的な影響は39％となっています。

日本国内の上位マルウェアファミリー
* 矢印は、前月と比較した順位の変動に関するものです。 

前月に続きEmotetが1位となりました。5月時点では20.98%の日本企業に影響を与えましたが、6月はおよそ6分の1へ減少し3.36%、そして7月は2.07%へと落ち着いています。2016年に発見されたRAT（遠隔操作ウイルス）であるRemcos（0.69%）、そしてFormbook (0.58%)がそれに続きます。

1. ↔ Emotet – 2月より6ヶ月連続で国内ランキングのトップに君臨しています。Emotet は非常に高度なモジュール型トロイの木馬で、自己増殖します。かつてはバンキング型トロイの木馬として使用されていたEmotetですが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われています。持続性を維持する様々な方法と検出を巧妙に回避する技術が搭載されており、Emotetは悪意のある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。6月中には新たに変異型も確認され < https://www.bleepingcomputer.com/news/security/emotet-malware-now-steals-credit-cards-from-google-chrome-users/?utm_source=BenchmarkEmail&utm_campaign=0721_June_Monthly_Top_Malware&utm_medium=email >、Chromeブラウザのユーザーを標的としてクレジットカード情報を窃取する機能が報告されています。 
2. ↑Remcos – 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
3. ↓Formbook – 3月より日本ランキングのトップ3に入り続けているFormbookは、Windows OSを標的とするインフォスティーラーです。6月には1.68%の国内企業に影響を与え、今月は0.58%と落ち着いています。2016年に初めて検出された同マルウェアは、強力な回避技術と比較的安価な価格帯でハッキングフォーラムにて「Malware as a Service (MaaS)」として販売されています。さまざまなWebブラウザから認証情報を盗みとり、スクリーンショットを収集します。また、キーストロークの記録、C&C（コマンド＆コントロール）サーバの命令に従い、ファイルをダウンロードし実行します。

グローバルで活発な上位のマルウェアファミリー
*矢印は前月と比較した順位の変動を表すものです。

７月も、最も広く流行しているマルウェアにはEmotetが君臨していますが、その世界的な影響は７％に留まりました。次いで全世界の組織の３％に影響を与えるFormbook、そして３位には全世界で２％の影響を与えるXMRigが続いています。
Snake Keyloggerに代わって第３位にランクインしたのは、暗号通貨のマイニングに使用されるオープンソースのCPUであるXMRigです。たとえサイバー犯罪者がハクティビズムといった志の高い動機を掲げたとしても、XMRigが第3位に再浮上したという事実から、彼らの目的は基本的に「お金のため」であることを示唆しています。

1. ↔ Emotet – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアや悪質なキャンペーンの拡散にも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
2. ↔ Formbook – FormbookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、地下ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。Formbookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバの命令に従ってファイルをダウンロードし実行します。
3. ↑ XMRig – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。

世界で最も攻撃されている業種、業界 
前月に引き続き、世界的に最も攻撃されている産業は「教育・研究」でした。続く２位は「政府・軍関係」、３位は「インターネットサービスプロバイダー／マネージドサービスプロバイダー（ISP・MSP）」となっています。

1. 教育・研究 
2. 政府・軍関係
3. ISP・MSP

悪用された脆弱性のトップ
７月、最も広く悪用された脆弱性は「Webサーバ公開型Gitリポジトリの情報漏えい」で、全世界の42％の組織に影響を及ぼしています。前月第１位だった「Apache Log4jのリモートコード実行」が僅差の41％で第２位となり、「Webサーバへの悪意あるURLによるディレクトリトラバーサル」は39％で第３位を保ちました。

1. ↑ Webサーバ公開型Gitリポジトリの情報漏えい  Gitのリポジトリには、情報漏えいに関する脆弱性が報告されています。この脆弱性を悪用されると、アカウント情報が意図せず漏えいする可能性があります。
2. ↓ Apache Log4jのリモートコード実行（CVE-2021-44228）Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
3. ↔ Webサーバへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260）複数の異なるWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURLを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや情報の漏えいが可能になります。

モバイルマルウェアのトップ
７月に最も流行したモバイルマルウェアはAlienBotで、AnubisとMaliBotがそれに続いています。６月のレポートで新たに登場したMalibotは、今回も世界で3番目に流行しているモバイルマルウェアの地位を保ち、７月も変わらずモバイルバンキングを利用するユーザーにとっての大きな脅威となっています。

1. AlienBot - AlienBotマルウェアファミリーはAndroidデバイス向けのMaaSです。リモートの攻撃者が攻撃の第一段階において悪意あるコードを正規の金融アプリケーションに注入することを可能にします。攻撃者は被害者のアカウントへのアクセス権を取得し、最終的には被害者のデバイスを完全に制御します。
2. Anubis – AnubisはAndroidモバイル電話機を標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
3. MaliBot – MaliBotはAndroid向けバンキングマルウェアで、スペインとイタリアのユーザーを標的としていることが確認されています。このマルウェアは異なる複数の名称を用いて暗号資産のマイニングアプリを装い、金融情報や暗号資産ウォレット、その他の個人情報を盗むことに重点を置いています。

チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud< https://www.checkpoint.com/infinity-vision/threatcloud/ >は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。

７月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ< https://blog.checkpoint.com/2022/08/10/july-2022s-most-wanted-malware-emotet-takes-summer-vacation-but-definitely-not-out-of-office/ >でご覧いただけます。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。