チェック・ポイント、2022年12月に最も活発だったマルウェアを発表 日本国内ではFormbookが首位、25%の組織に影響を与え2位以下を引き離す

グローバルではQbotがEmotetを抜いて首位、Glupteba が2022年7月以来のランクインで8位となったほか、Android向けマルウェアのHiddadが復活。「教育・研究」業界への攻撃集中は止まらず。
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年12月の最新版Global Threat Index(世界脅威インデックス)を発表しました。

Formbookが日本のランキング首位で他を引き離す
12月、日本のランキング首位は国内組織の25%に影響を与えたFormbookとなり、国内組織の6%に影響を与え2位となったQbot以下を大きく引き離しました。Formbookは情報収集と個人情報の窃取を目的としたマルウェアです。Qbotは銀行口座の認証情報やキーストロークを盗む巧妙なトロイの木馬型マルウェアであり、グローバルランキングでは世界の組織の7%に影響を及ぼし、前月に復活を見せたEmotetを抜いて首位となっています。また、ブロックチェーン対応のトロイの木馬型ボットネットGluptebaが2022年7月以来初めてトップ10に入り、8位となっています。Android向けマルウェアのHiddadが復活したほか、「教育・研究」分野は依然、世界的に最もサイバー攻撃を受けた業界となっています。

復活したGlupteba、Hiddad
2021年12月、Google社がGluptebaに対する大規模な無力化措置 < https://blog.google/threat-analysis-group/disrupting-glupteba-operation/ > を講じました。しかしながら、Gluptebaは再起を果たしたと見られます。変異型のモジュール型マルウェアであるGluptebaは、感染先のコンピューターで多様な目的の達成が可能です。このボットネットは、多くの場合他のマルウェアのダウンローダーやドロッパーとして使用されます。すなわち、Gluptebaへの感染は、ランサムウェアへの感染やデータ漏えいを始めとするセキュリティインシデントをもたらす可能性があります。また、Gluptebaは感染したコンピューターからユーザー認証情報とセッションCookieを窃取するよう設計されています。認証データはユーザーのオンラインアカウントやその他のシステムへのアクセスに用いられる可能性があり、攻撃者がこうした侵害されたアカウントを用い機密データの窃取やその他の行為に及ぶことを可能にします。さらに、このマルウェアはターゲットに暗号資産の採掘機能を展開するため用いられることが多く、マイニングのブロック生成にコンピューターのリソースを使い、枯渇させます。

また12月には、Hiddadがモバイルマルウェアのトップ3に2022年内で初めて入りました。HiddadはAndroid端末を標的とする広告配信マルウェアです。正規のアプリケーションをリパッケージし、サードパーティーのアプリストアで公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティ情報へのアクセスも可能です。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz) は次のように述べています。
「CPRの最新リサーチから顕著な特徴として見えてくるのは、疑いを抱かせずにハッカーによるデバイスへの不正アクセスを可能にするため、マルウェアが正規のソフトウェアを装う頻度の高さです。だからこそ、ソフトウェアやアプリケーションのダウンロードやリンクをクリックする際には、それが一見どれほど真正であるように見えても、十分な注意義務を怠らないことが重要です」

また、CPRによると12月に最も悪用された脆弱性は「Webサーバ公開型Gitリポジトリの情報漏えい」で、世界的な組織の46%に影響を与えました。続く2位は44%に影響を与えた「Webサーバへの悪意あるURLによるディレクトリトラバーサル」、3位は43%に影響を与えた「HTTPへのコマンドインジェクション」です。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。

日本のランキングはFormbookが2位以下を引き離し、国内組織の25%に影響を与え首位となりました。Formbookは2022年10月には国内3位、11月に国内2位と徐々に順位を上げており、12月には前月の影響値3%から飛躍的な増加を伴う結果となっています。グローバル首位のQbotは前月と同じ国内2位にとどまりましたが、影響値は前月から倍加しています。3位は前月国内首位のEmotetが順位を下げる結果となりました。
  1. ↑ FormBook (25.08%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
  2. ↔ Qbot (6.12%) - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
  3. ↓ Emotet (2.14%) – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。

グローバルで活発な上位マルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

12月はEmotetを抜いてQbotが最も流行したマルウェアとなり、全世界の組織の7%に影響を与えました。Emotetは4%に影響を与え2位、XMRigは3%に影響を与え3位という結果でした。
  1. ↑ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
  2. ↔ Emotet - Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
  3. ↑ XMRig – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。

世界的に最も攻撃されている業種、業界
引き続き「教育・研究」分野が世界的に最も攻撃されている業界の首位となっています。2位は「政府・軍関係」、3位は「保健医療」です。
  1. 教育・研究
  2. 政府・軍関係
  3. 保健医療

悪用された脆弱性のトップ
12月、最も悪用された脆弱性は「Webサーバ公開型Gitリポジトリの情報漏えい」で、全世界の組織の46%に影響を与えました。続く2位は44%に影響を与えた「Webサーバへの悪意あるURLによるディレクトリトラバーサル」、3位は43%に影響を与えた「HTTPへのコマンドインジェクション」です。
  1. ↑ Webサーバ公開型Git リポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
  2. ↓ Webサーバへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、 CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260)– 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
  3. ↑ HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

モバイルマルウェアのトップ
12月も引き続き、Anubisが最も流行したモバイルマルウェアの首位にとどまりました。2位にはHiddadが浮上し、3位はAlienBotでした。
  1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
  2. Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータへのアクセスも可能です。
  3. AlienBot – AlienBotはAndroidデバイス向けのバンキング型トロイの木馬です。サービスとしてのマルウェア(MaaS)としてアンダーグラウンドで販売されており、キーログ、認証情報を盗むためのダイナミックオーバーレイ、2FA(2段階認証)バイパスのためのSMS情報の窃取などの機能をサポートしています。また、TeamViewerモジュールを使用することで、遠隔コントロールの機能を追加することができます。

チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ > は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。

12月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/2023/01/13/december-2022s-most-wanted-malware-glupteba-entering-top-ten-and-qbot-in-first-place/ > でご覧いただけます。

本プレスリリースは、米国時間2023年1月13日に発表されたブログ(英語) < https://blog.checkpoint.com/2023/01/13/december-2022s-most-wanted-malware-glupteba-entering-top-ten-and-qbot-in-first-place/ > をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud  < https://www.checkpoint.com/infinity/threatcloud/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・Twitter: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。


会社概要

URL
https://www.checkpoint.com/jp
業種
情報通信
本社所在地
東京都港区虎ノ門1-2-8 虎ノ門琴平タワー25F
電話番号
03-6205-8340
代表者名
佐賀 文宣
上場
未上場
資本金
2000万円
設立
1997年10月