チェック・ポイント・リサーチ、2024年3月に最も活発だったマルウェアを発表 Remcosの新たな展開手法を発見、国内ではFormbookが引き続き首位に

グローバルではBlack Bastaが初のトップ3入りし、最も攻撃されている業種では「通信」が数カ月ぶり3位に浮上

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2024年3月の最新版Global Threat Index(世界脅威インデックス)を発表しました。

CPRは3月、リモートアクセス型トロイの木馬(RAT)Remcosの展開のため、ハッカーらがVHD(仮想ハードディスク)ファイルを利用していることを明らかにしました。一方Lockbit3は、チェック・ポイントが監視する200ものランサムウェアのリークサイト(shame sites)における割合が20%から12%へと減少したものの、2月に実施された法執行機関による摘発にもかかわらず、3月も引き続きグローバルで最も活発だったランサムウェアリストの首位に立ちました。

Remcosは、既知のマルウェアとして2016年から活動が確認されています。このたび発見された最新のキャンペーンは、一般的なセキュリティ対策を回避し、サイバー犯罪者による被害者のデバイスへの不正アクセスを可能にします。Remcosの起源はWindowsシステムをリモート管理する正規ツールですが、サイバー犯罪者は即座に、デバイス感染、スクリーンショットのキャプチャ、キー入力の記録、収集されたデータの指定されたホストサーバーへの送信といったこのツールが持つ能力の悪用を開始しました。さらにこのRATマルウェアは、配布キャンペーンを実行できるマスメーリング機能を備えており、その様々な機能は総合的にボットネットの作成に使用できます。Remcosは3月のリストでは2月の6位から4位へと順位を上げました。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べています。
「こうした攻撃戦術の進化は、サイバー犯罪戦略の絶え間ない進歩を浮き彫りにしています。これにより、組織が事前対策を優先することの必要性が強調されています。警戒を怠らず、強固なエンドポイントプロテクションを導入し、高いサイバーセキュリティ意識を持つ企業文化を醸成することで、進化するサイバー脅威に対する防御を強化できます」

チェック・ポイントのランサムウェアインデックスは、二重恐喝型ランサムウェアグループが運営する被害者情報が掲載されたリークサイトから得られるインサイトに焦点を当てています。3月、Lockbit3が再びランキングの首位に立ち、報告された攻撃全体の12%を占めました。次いでPlayが10%、Black Bastaが9%となっています。今回初めてトップ3にランクインしたBlack Bastaは、スコットランドの法律事務所Scullion Lawに対する最近のサイバー攻撃の首謀者であると主張しています。

また、3月に最も悪用された脆弱性は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の50%に影響を与えました。2位は「HTTPへのコマンドインジェクション」で世界的な影響は48%、3位は「HTTPヘッダーのリモートコード実行」で世界的な影響は43%でした。

国内で活発な上位のマルウェアファミリー 

*矢印は、前月と比較した順位の変動を示しています。 

国内では2月から引き続きFormbookが首位に立ちました。2位にはAgentTeslaが2月の3位から順位を上げ、3位には入れ替わりで順位を下げたFakeUpdates、引き続き3位のSnatchに加え、Neshtaが登場して並んでいます。

1.  ↔ Formbook(3.58%)– FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードし、実行します。

2. ↑ AgentTesla(1.34%)– Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。

3. ↑ Neshta(0.89%)– Neshta は2010年に初めて確認されたトロイの木馬型マルウェアです。このマルウェアはシステムレジストリおよびブラウザの設定に修正を施し、悪意あるツールバーや拡張機能をインストールします。Neshtaは他の実行可能ファイルに自身のコードを注入することで自ら伝播する機能を持ちます。

3. ↓ FakeUpdates(0.89%)– FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

3. ↔ Snatch(0.89%)– Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使します。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。 

3月、最も流行したマルウェアはFakeUpdatesで、全世界の組織の6%に影響を与えました。続く2位はQbotで世界的な影響は3%、3位はFormbookで世界的な影響は2%でした。

1. ↔ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↔ Qbot - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

3. ↔ Formbook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードし、実行します。


悪用された脆弱性のトップ

3月、最も悪用された脆弱性は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の50%に影響を与えました。2位は「HTTPへのコマンドインジェクション」で世界的な影響は48%、3位は「HTTPヘッダーのリモートコード実行」で世界的な影響は43%でした。

1. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

2. ↔ HTTPへのコマンドインジェクション(CVE-2021-43936、CVE-2022-24086)– HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。
 

3. ↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ
3月、Anubisが最も流行したモバイルマルウェアの首位を維持しました。2位にAhMyth、3位にはCerberusが続いています。

1. ↔ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2. ↔ AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

3. ↑ Cerberus – 2019年6月に初めて被害が報告されたCerberusは、バンキング画面のスクリーンオーバーレイ機能に特化した、Androidデバイス向けのリモートアクセス型トロイの木馬(RAT)マルウェアです。CerberusはMaaS(サービスとしてのマルウェア)モデルで活動しており、AnubisやExobotなどの活動を停止したバンキングマルウェアに取って代わっています。その機能には、SMSコントロール、キー入力の記録、音声録音、位置追跡などがあります。

世界的に最も攻撃されている業種・業界
3月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「通信」でした。

  1. 教育・研究

  2. 政府・軍関係

  3. 通信

最も活発なランサムウェアグループ
このセクションでは、二重恐喝型ランサムウェアグループが運営し、被害者の名前と情報を投稿する約200のリークサイト(Shame Sites)から得られた情報を基にランキングを作成しています。これらのサイトから得られるデータには、サイトの性格による独自の偏向が見られますが、ランサムウェアのエコシステムについての貴重な洞察をもたらしています。

3月、最も活発だったランサムウェアグループはLockbit3で、報告された攻撃全体のうち12%の首謀者とされています。2位はPlayで10%、3位はBlack Bastaで9%でした。

1. LockBit3 – LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告されました。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体(CIS)を標的にした活動は確認されていません。2024年2月に法執行機関の摘発を受け、大規模な活動停止を余儀なくされたにも関わらず、LockBit3は現在、被害者に関する情報の公開を再開しています。

2. Play - Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループです。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしています。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet     SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスします。ひとたび内部に侵入すると、LOLBin(環境寄生バイナリ)の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行します。

3. Black Basta     – Black BastaランサムウェアはRaaSモデルで活動するランサムウェアで、2022年に初めて観測されました。Black Bastaの背後にいる脅威アクターは、ほとんどの場合に組織や個人をターゲットとし、ランサムウェアの拡散にRDPの脆弱性の悪用やフィッシングメールを用いた攻撃を行います。

3月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。 

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスである ThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。 
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinityPlatformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ 

チェック・ポイント広報事務局 (合同会社NEXT PR内) 

Tel: 03-4405-9537 Fax: 03-6739-3934 

E-mail: checkpointPR@next-pr.co.jp 

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。


会社概要

URL
https://www.checkpoint.com/jp
業種
情報通信
本社所在地
東京都港区虎ノ門1-2-8 虎ノ門琴平タワー25F
電話番号
03-6205-8340
代表者名
佐賀 文宣
上場
未上場
資本金
2000万円
設立
1997年10月