チェック・ポイント・リサーチ、2023年10月に最も活発だったマルウェアを発表
国内ではRemcosが先月に続き首位となり、新たなファイル共有マルスパムキャンペーンで拡散されたAgentTeslaは国内3位・グローバル6位にランクイン
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. < https://www.checkpoint.com/ > 、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年10月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
10月のGlobal Threat Index(世界脅威インデックス)では、中東の政府機関や組織を標的にすることで知られるリモートアクセス型トロイの木馬(RAT)njRATが、6位から順位を上げて2位に浮上しました。また、高度なRATであるAgentTeslaが関与する新たなマルスパム攻撃キャンペーンが報告されたほか、依然として教育・研究分野が最も攻撃を受けていることが明らかになりました。
10月、AgentTeslaが悪意あるMicrosoftコンパイル済のHTML(.chm)拡張子を含むアーカイブファイルを通じて拡散されていることが確認されました。こうしたファイルは電子メールを介し、.gzや.zipの拡張子を含む添付ファイルとして配信されます。ファイルは最近の注文や商品出荷との関連を示す名前(– po-######.gzやshipping documents.gzなど)がつけられ、標的となったユーザーを誘導しマルウェアをダウンロードさせるよう設計されていました。AgentTeslaがインストールされると、キーログ収集、クリップボードデータのキャプチャ、ファイルシステムへのアクセス、コマンド&コントロール(C&C)サーバーへの窃取データの密かな転送などが可能になります。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「身近なブランドへのなりすましや、メールを介した悪質なファイル送信を通じてマルウェアを配布するハッカーの手口を、見逃すわけにはいきません。11月にショッピングシーズンが始まるにあたり、サイバー犯罪者がオンラインショッピングや商品配送に対する関心の高まりを積極的に悪用していることを念頭に、決して警戒を怠らないことが重要です」
また、CPRによると、10月に最も悪用された脆弱性は「Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771)」で、全世界の組織の42%に影響を及ぼしました。2位は「HTTPへのコマンドインジェクション」、3位には「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」がランクインしており、世界的な影響はいずれも42%となっています。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
国内では9月に続きRemcosが首位となり、国内組織の1.98%に影響を与えました。次いでEmotetが1.24%に影響を与え2位に浮上、3位にはCloueEyE、AgentTesla、Mirai、Snatchがいずれも影響値0.99%で並ぶ結果となりました。
1. ↔ Remcos(1.98%) – Remcosは2016年に初めて活動が確認されたRATで、スパムメールに添付された悪意あるMicrosoft Office ドキュメントを通じて拡散されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
2. ↑ Emotet(1.24%) - Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンに利用されています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含んだフィッシングメールを介して拡散されます
3. ↑ CloudEyE(0.99%) - CloudEyEはWindowsプラットフォームを標的とするダウンローダで、標的のコンピュータへの悪意あるプログラムのダウンロードとインストールに利用されます。
3. ↔ AgentTesla(0.99%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
3. ↑ Mirai(0.99%) – Miraiは、ウェブカメラやモデム、ルーターなどの脆弱なIoTデバイスを追跡してボット化する、悪名高いIoTマルウェアです。このボットネットは大規模な分散型サービス拒否(DDoS)攻撃に利用されます。Miraiボットネットは2016年に初めて姿を現し、リベリア全土をオフラインにするために行われた大規模なDDoS攻撃や、アメリカのインターネットインフラの大部分を提供する企業Dynに対するDDoS攻撃など、いくつもの大規模攻撃によって瞬く間に話題となりました。
3. ↑ Snatch(0.99%) - Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使します。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
10月に最も流行したマルウェアはFormbookで全世界の組織の3%に影響を与えました。2位と3位には njRATとRemcosがランクインし、世界的な影響はいずれも2%でした。
1. ↔ Formbook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードして実行します。
2. ↑ njRAT – njRATは、主に中東の政府機関や組織をターゲットとするリモートアクセス型トロイの木馬です。2012年に初めて登場したこのマルウェアは、キー入力のキャプチャ、カメラへのアクセス、ブラウザに保存された認証情報の収集、ファイルのアップロードとダウンロード、プロセスやファイルの操作、被害者のデスクトップの表示など、複数の機能を備えています。njRATはフィッシング攻撃やドライブバイダウンロードを介して感染し、コマンド&コントロール(C&C)サーバーソフトウェアのサポートにより、感染したUSBキーやネットワークドライブを通じて伝播します。
3. ↓ Remcos – Remcosは2016年に初めて活動が確認されたRATで、スパムメールに添付された悪意あるMicrosoft Office ドキュメントを通じて拡散されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
世界的に最も攻撃されている業種、業界
10月、世界的に最も攻撃されている業界は、前月に引き続き「教育・研究」で、2位は「通信」、3位は「政府・軍関係」でした。
1. 教育・研究
2. 通信
3. 政府・軍関係
悪用された脆弱性のトップ
10月、最も多く悪用された脆弱性は「Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771)」で、全世界の組織の42%に影響を及ぼしました。2位は「HTTPへのコマンドインジェクション」で世界的な影響は42%、3位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で世界的な影響は42%でした。
1. ↑ Zyxel ZyWALLへのコマンドインジェクション(CVE-2023-28771) - Zyxel ZyWALLにコマンドインジェクションの脆弱性が発見されました。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになります。
2. ↔ HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。
3. ↓ Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
モバイルマルウェアのトップ
引き続き、Anubisが最も流行したモバイルマルウェアの首位に留まりました。2位にはAhMyth、3位にはHiddadが続いています。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
2. AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。
3. Hiddad - HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloud < https://www.checkpoint.com/jp/ai/ > インテリジェンスによって実現されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
10月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/security/october-2023s-most-wanted-malware-njrat-jumps-to-second-place-while-agenttesla-spreads-through-new-file-sharing-mal-spam-campaign/ > でご覧いただけます。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X(旧Twitter): https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X(旧Twitter):https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
このプレスリリースには、メディア関係者向けの情報があります
メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。