チェック・ポイント・リサーチ、2024年5月に最も活発だったマルウェアを発表　国内首位は先月に続きAndroxgh0st、以下多種のマルウェアがひしめく結果に

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd.、 NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年5月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

Phorpiexボットネットによる新たなマルスパムキャンペーン
5月には、Phorpiexボットネットによるマルスパムキャンペーンが新たに発見されました。これにより発信された数百万通のフィッシングメールには、LockBit Blackが含まれていました。LockBit Blackは、LockBit3をベースとするランサムウェアです。一方、RaaS（サービスとしてのランサムウェア）グループであるLockBit3の急増も確認されました。

Phorpiexボットネットの元来の運営者は、2021年8月に完全に活動を停止し、ソースコードを売却していました。しかしCPRは、2021年12月までに、このボットネットが分散型P2P（ピアツーピア）モデルで動作する、「Twizt」という名の新たな亜種として再出現していることを発見しました。本年4月、ニュージャージーサイバーセキュリティ通信統合セル（NJCCIC） は、同月のCPRによる脅威インデックスで6位にランクインしているPhorpiexボットネットが、LockBit3ランサムウェアキャンペーンの一部として数百万通のフィッシングメールの送信に使われていた証拠を発見しました。これらの電子メールにはZIPファイルが添付されており、その中にある詐欺的な.doc.scrファイルを実行すると、ランサムウェアの暗号化プロセスが開始されます。このランサムウェアキャンペーンでは、主にカザフスタン、ウズベキスタン、イラン、ロシア、中国の1,500以上に及ぶ固有のIPアドレスが使用されていました。

LockBit3が再び支配的に
また、本調査では、二重恐喝型ランサムウェアグループが運営し、身代金の支払いを拒むターゲットへの圧力として被害者の情報を掲載しているリークサイト（Shame sites）から得られるインサイトを紹介しています。5月、LockBit3は公表された攻撃の33%を占め、その支配的な位置付けを再び示しました。次いで、Inc. Ransomが7%、Playが5%の検出率で続いています。Inc. Ransomは最近、英国レスター市議会の公共サービスを妨害した大規模なサイバーインシデントの主犯であると主張しており、3テラバイト以上のデータを盗み出し、広範囲にわたるシステム停止を引き起こしたとされます。

チェック・ポイントのリサーチ担当VP、マヤ・ホロウィッツ（Maya Horowitz）は、次のように述べています。
「法執行機関は、7,000を超える LockBit復号化キーの公開に加え、LockBit3のリーダーや関係者の一人を摘発し、LockBit3に関わるサイバー犯罪集団を一時的な活動停止に追い込むことに成功しました。しかしそれでもまだ、LockBit3の脅威を完全に制圧するには十分ではありません。ランサムウェアは、サイバー犯罪者が用いる中でも最も破壊的な攻撃手法の一つです。ひとたびランサムウェアがネットワークに侵入し、情報を抜き取られてしまえば、標的となった側が取れる選択肢は限られます。特に、要求された身代金を支払う余裕がない場合にはなおさらです。だからこそ、組織はリスクに対する警戒を保ち、優先的に防止策を講じる必要があります」

国内で活発な上位のマルウェアファミリー 

*矢印は、前月と比較した順位の変動を示しています。

国内ランキングは4月に続きAndroxgh0stが国内企業の3.07%に影響を与え、首位に立ちました。続く2位には影響値0.95%で5種類のマルウェアが並んでいます。このうちFakeUpdatesは4月から引き続き2位にとどまり、Snatch、AgentTesla、Remcos、Qbotは順位を上げました。3位にはマルチプラットフォームのバックドア型マルウェアであるSysJokerがランクインしました。

1.    ↔ Androxgh0st（3.07%） - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

2.    ↔ FakeUpdates（0.95%）– FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2.    ↑ Snatch（0.95%） - Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使します。

2.    ↑ AgentTesla（0.95%）– Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

2.    ↑ Remcos（0.95%）– 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付された悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。

2.    ↑ Qbot（0.95%）- Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

3.    ↑ SysJoker（0.71%） - SysJokerは、 Windows、MacおよびLinuxを標的とするマルチプラットフォームのバックドア型マルウェアです。

グローバルで活発な上位のマルウェアファミリー

5月、最も流行したマルウェアはFakeUpdatesで、全世界の組織の7%に影響を及ぼしました。続く2位はAndroxgh0stで世界的な影響は5%、3位はQbotで影響は3%でした。

1.    ↔ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2.    ↔ Androxgh0st – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。

3.    ↔ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

悪用された脆弱性のトップ
5月、最も悪用された脆弱性は「HTTPへのコマンドインジェクション」で、世界的な組織の50%に影響を及ぼしました。続く2位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、世界的な影響は47%、3位は「Apache Log4jのリモートコード実行」で、影響は46%でした。

1.  ↔ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）– HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

2.  ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

3.  ↑ Apache Log4jのリモートコード実行（CVE-2021-44228） - Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。

モバイルマルウェアのトップ
5月、最も流行したモバイルマルウェアAnubisで、2位はAhMyth、3位にはHydraがランクインしました。

1. ↔ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2. ↔ AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

3. ↑ Hydra – Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬です。

世界的に最も攻撃されている業種、業界
5月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「通信」でした。

1.    教育・研究

2.    政府・軍関係

3.    通信

最も活発なランサムウェアグループ

このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいています。5月、最も活発だったランサムウェアグループはLockBit3で、リークサイトで公表された攻撃のうち33%を首謀していました。続く2位はInc. Ransomで全体の7%を占め、3位のPlayは5%を占めています。

1. LockBit3 – LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告されました。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていません。2024年2月に法執行機関の摘発を受けたにも関わらず、Lockbit3は現在も被害者に関する情報の公開を続けています。

2. Inc. Ransom - Inc. Ransomは、2023年7月に出現したランサムウェアグループによる恐喝作戦で、スピアフィッシング攻撃を実行し、脆弱なサービスを標的にしています。このグループは、ヘルスケア、教育、政府機関など複数の業界にまたがる、北米とヨーロッパの組織を主なターゲットとしています。Inc. Ransomのランサムウェアのペイロードは、複数のコマンドライン引数に対応し、マルチスレッドのアプローチによる部分暗号化を使用しています。    

3. Play - Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループです。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしています。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスします。ひとたび内部に侵入すると、LOLBin（環境寄生バイナリ）の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行します。

 

5月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。 
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/ ）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinityPlatformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/ ）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ 

チェック・ポイント広報事務局 （合同会社NEXT PR内）

Tel: 03-4405-9537　Fax: 03-6739-3934

E-mail: checkpointPR@next-pr.co.jp