チェック・ポイント、2022年9月に最も活発だったマルウェアを発表 2月より国内1位に君臨していたEmotetがランキングから外れる結果に
最も攻撃されている業界は引き続き「教育・研究」が圧倒的1位。サイバー戦争が激化する中ウクライナの脅威ランキングが上昇。
国内、グローバルともにEmotetがランキングから外れる
国内ランキングでは、AgentTesla、XMRig、Ramnit、Remcos、Lamerがそれぞれ1.51%の日本企業に影響を与え、同率で1位という結果になりました。2月から7月まで6ヶ月連続でトップに君臨し続け、5月時点では20.98%もの日本企業に影響を与えたEmotet(エモテット)は、8月に影響値0.08%で2位ですが、今月は国内10位からも外れた結果となります。かつては「最恐のマルウェア」とも呼ばれた、自己増殖する非常に高度なモジュール型トロイの木馬であるEmotetですが、その影響力は着実に落ちていることが伺えます。
グローバル全体の傾向としては、9月も依然としてFormbookが最も流行しているマルウェアのトップに留まり、全世界の組織の3%に影響を与えている一方で、Vidarが前月から順位を7つ上げ、8位にランクインしました。Vidarはバックドアによるアクセスを可能にするよう設計されたインフォスティーラーで、感染したデバイスから銀行の機密情報、ログイン認証情報、IPアドレス、ブラウザの履歴や仮想通貨のウォレット情報などを盗み出します。Vidarの被害が増加した背景にあるのは、「zoomus[.]website」や「zoom-download[.]space」といった偽のZoomサイト < https://www.theregister.com/2022/09/22/zoom_malware_infosteal_cyble/ > を使って無警戒なユーザーにマルウェアをダウンロードさせる悪質な攻撃キャンペーンです。
なお、世界的に最もサイバー攻撃が集中した業界は、9月も依然として「教育・研究」分野となっています。
サイバー戦争の激化が顕著に
ロシアとウクライナの戦争が激化する中で、東欧の多くの国の脅威ランクが大きく変化していることが指摘されています。「脅威ランク」とは、ある1つの組織が特定の国において、世界の他の国と比較してどの程度攻撃されているかを表す指標です。9月中には、ウクライナの脅威ランクが26も上昇し、ポーランドとロシアは18ランク、リトアニアとルーマニアが17ランクと、それぞれ世界における順位を上げました。これらの国々は今やすべて上位25位以内にランクインしており、この1ヶ月で大きな順位変動が起こっています。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べています。
「戦場での戦いが続くと同時に、サイバー空間での戦争も続いています。先月、多くの東欧諸国の脅威ランクが上昇したのは、偶然ではないでしょう。今やあらゆる組織がリスクにさらされており、手遅れになる前に、防止/阻止優先のサイバーセキュリティ戦略へと移行する必要があります。9月に最も流行したマルウェアのランキングを見てみると、興味深いことに、Vidarが久々にトップ10に躍り出ました。最近、VidarマルウェアはZoomを装う不正なリンクによって配布されているため、Zoomのユーザーは今後も注意する必要があります。URLに不一致やスペルミスがないか、常に目を光らせてください。もし怪しいと感じたなら、それは恐らく偽のリンクです」
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。
1. ↑ Agent Tesla (1.51%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
1. ↑ XMRig (1.51%) – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。
1. ↑Remcos (1.51%) – 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
1. ↑Lamer (1.51%) – Lamerはトロイの木馬型マルウェアで、気付かれないようにしながら情報を盗むなどの悪意のある目的のためにPCの防御に侵入します。Lamerは、悪意のある電子メールスパムまたは一連の感染ツールを介して拡散します。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
9月も、Formbookが最も流行したマルウェアの首位に留まり、全世界の組織の3%に影響を及ぼしています。続く2位と3位にはXMRigとAgent Teslaがランクインし、世界的な影響はいずれも2%でした。
- ↔ FormBook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
- ↑ XMRig – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。
- ↓ Agent Tesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
世界で最も攻撃されている業種、業界
前月に引き続き、世界的に最も攻撃されている業界は「教育・研究」でした。続く2位は「政府・軍関係」、3位は「保健医療」となっています。
- 教育・研究
- 政府・軍関係
- 保健医療
悪用された脆弱性のトップ
9月は「Webサーバ公開型Git リポジトリの情報漏えい」が最も広く悪用された脆弱性で、全世界の組織の43%に影響を及ぼしています。次いで、前月1位だった「Apache Log4jのリモートコード実行」が2位となり、世界的な影響は42%でした。また、9月には「HTTPへのコマンドインジェクション」が、世界的な影響40%で3位に躍り出ました。
- ↑ Webサーバ公開型Git リポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
- ↓ Apache Log4jのリモートコード実行(CVE-2021-44228)– Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
- ↑HTTPへのコマンドインジェクション(CVE-2021-43936,CVE-2022-24086) – HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。
モバイルマルウェアのトップ
9月のモバイルマルウェアのランキングではAnubisが首位に躍り出ました。2位にHydra、3位にはJokerが続いています。
- Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、さまざまなランサムウェア機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
- Hydra – Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬です。
- Joker – JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者の同意や認識を得ずに有料のプレミアムサービスに登録することも可能です。
9月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/2022/10/12/september-2022s-most-wanted-malware-formbook-on-top-while-vidar-zooms-seven-places/ >でご覧いただけます。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。
- 種類
- 調査レポート
- ビジネスカテゴリ
- アプリケーション・セキュリティネットワーク・ネットワーク機器