包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. < https://www.checkpoint.com/ > 、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年7月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
Remcosが国内首位・グローバル3位に浮上
7月はQbotが5月以降3ヶ月連続となる国内・グローバルランキングの首位に立ちました。国内ランキング首位をQbotと分け合ったRemcosはグローバルでも順位を4つ上げ、3位に浮上しています。CPRの調査結果によると、このRemcosの浮上は、脅威アクターが作成した偽のウェブサイトを通じてRAT(リモートアクセス型トロイの木馬)を搭載した悪質なダウンローダーを拡散した結果と見られます。モバイルマルウェアの分野では、モバイルバンキング型トロイの木馬Anubisが順位を上げ、比較的新参のSpinOkから首位を奪い返しました。また、最も攻撃されている業種・業界は引き続き「教育・研究」分野でした。
Remcosは2016年に初めて確認されたRATであり、悪意あるMicrosoftドキュメントやダウンローダーを通じ、定期的に拡散されています。最近ではマルウェアダウンローダーのFruity < https://thehackernews.com/2023/07/fruity-trojan-uses-deceptive-software.html > が関わるキャンペーンで確認されました。その目的は被害者を誘導してFruityダウンローダーをダウンロードさせ、最終的にはRemcosなどさまざまなRATをインストールさせることにあります。特にRemcosは、被害者のシステムにリモートアクセスして機密情報や認証情報を窃取し、ユーザーのコンピューター上で悪質な活動を展開する能力で知られています。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「年間でも今の時期は特に、サイバー犯罪者にとって格好の機会となります。多くの人がホリデーシーズンを楽しむ一方、組織は人員不足や変更への対処を迫られ、結果として脅威監視とリスク最小化の能力に影響を受けている可能性があります。企業にとって自動化され統合されたセキュリティプロセスの導入は、優れたユーザー教育に加え、多忙な休暇シーズン中も優れた実践力を維持するために役立ちます」
また、CPRによると、7月に最も悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の49%に影響を及ぼしました。続く2位は「Apache Log4jのリモートコード実行」で世界的な影響は45%、3位は「HTTPヘッダーのリモートコード実行」で世界的な影響は42%でした。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。
首位は5月以降3カ月連続で国内・グローバルともに最も多くの組織に影響を及ぼしたQbotと、グローバルランクでも順位を上げたRemcosが、ともに国内企業の2.91%に影響を与えて分け合う結果となりました。2位は先月に引き続きFormbook、3位には先月から順位を上げたNanoCoreが入っています。
1. ↔ Qbot (2.91%) – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。
1. ↑ Remcos(2.91%)- 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
2. ↔ Formbook(2.49%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
3. ↑ NanoCore(2.08%)- Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬(RAT)で、2013年に初めて流行が観測されました。このRATはそのすべてのバージョンで、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えています。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
7月も引き続きQbotが世界的に最も流行したマルウェアの首位となり、全世界の組織の5%に影響を与えました。続く2位はFormbookで世界的な影響は4%、3位にはRemcosが浮上し、世界的な影響は2%でした。
1. ↔ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。 2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。
2. ↔ Formbook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
3. ↑ Remcos – 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付された悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
世界的に最も攻撃されている業種、業界
7月、世界的に最も攻撃されている業界は、引き続き「教育・研究」でした。2位は「政府・軍関係」、3位は「保健医療」です。
-
教育・研究
-
政府・軍関係
-
保健医療
悪用された脆弱性のトップ
7月、最も多く悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の49%に影響を及ぼしました。続く2位は「Apache Log4jのリモートコード実行」で世界的な影響は45%、3位は「HTTPヘッダーのリモートコード実行」で世界的な影響は42%でした。
1. ↔ Webサーバへの悪意あるURLによるディレクトリトラバーサル – 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
2. ↔ Apache Log4jのリモートコード実行(CVE-2021-44228)- Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
3. ↔ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。
モバイルマルウェアのトップ
7月は、Anubisが再び最も流行したモバイルマルウェアの首位に立ちました。2位はSpinOk、3位にはAhMythが続いています。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
2. SpinOk – SpinOkは、スパイウェアとして機能するAndroidソフトウェアモジュールです。デバイス上に保存されたファイルの情報を収集し、悪意ある脅威アクターに転送する機能を有します。この悪質なモジュールは100以上のAndroidアプリ内に存在することが確認され、2023年5月までに4億2,100万回以上ダウンロードされたことが分かっています。
3. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントのセキュリティを支える頭脳であるThreatCloud < https://www.checkpoint.com/infinity/threatcloud-ai/ > によって実現されています。ThreatCloud は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスはAIエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチがもたらす独自のリサーチ・データによって強化されています。
7月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://www.checkpoint.com/press-releases/july-2023s-most-wanted-malware-remote-access-trojan-rat-remcos-climbs-to-third-place-while-mobile-malware-anubis-returns-to-top-spot/ > でご覧いただけます。
本プレスリリースは、米国時間2023年8月9日に発表されたブログ(英語) < https://www.checkpoint.com/press-releases/july-2023s-most-wanted-malware-remote-access-trojan-rat-remcos-climbs-to-third-place-while-mobile-malware-anubis-returns-to-top-spot/ > をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
