Snake Keyloggerは通常、電子メールに添付された悪意あるマクロを含むWordファイル(.docx)やExcelファイル(.xlsx)によって拡散されますが、CPRの今月のレポートではSnake Keylogger がPDFファイルによって拡散されていることが報告されています。これはMicrosoftがインターネットから入手したマクロをOfficeのデフォルトでブロックしたことが一因と考えられ< https://research.checkpoint.com/2022/the-death-of-please-enable-macros-and-what-it-means/>、それによってより有効な手段を考える必要に迫られたサイバー犯罪者たちが、PDFなど新たな形式のファイルを用いた手口を模索したことを意味しています。PDFファイルは他のファイル形式よりも本質的に安全である、と考えている人もいるため、この珍しい手法はマルウェアを拡散する方法として非常に効果的であることが証明されています。
Emotetは全世界の8%の組織に影響を及ぼし、前月からはわずかに増加しました。Emotetは非常に利便性の高いマルウェアであり、検出を回避しつづけるその性能によって、有効な攻撃手段であることを証明しています。また持続性が高いため、一度デバイスが感染すると排除することが難しく、サイバー犯罪者の武器として完璧なツールとなっています。元々はバンキング型トロイの木馬であり、多くの場合フィッシングメールを通じて散布されます。他のマルウェアをも侵入させる機能を持っており、被害を拡大させる性能が強化されています。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べています。
「最近のSnake Keyloggerによる攻撃を見ても明らかなように、オンラインで行うすべての行為はサイバー攻撃の危険にさらされており、PDF文書を開くという行為も例外ではありません。」
「ウイルスや悪意ある実行可能コードはマルチメディアコンテンツやリンクに潜伏している可能性があり、このSnake Keyloggerによる攻撃の場合、ユーザがPDFファイルを開いた時点でマルウェア攻撃を開始可能な状態になっています。このため、メールに添付された.docxファイルや.xlsxファイルの正当性を疑うのと同じように、PDFファイルについても警戒する必要があります。現在の状況においては、添付ファイルを隔離して検査し、何よりもまず悪意あるファイルのネットワークへの侵入を防ぐ、堅牢な電子メールのセキュリティソリューションが、組織にとってかつてないほど重要になっています。」
またCPRが明らかにしたところによれば、最も広く悪用されている脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の46%の企業に影響を与えており、「Apache Log4jのリモートコード実行」が僅差で続いています。「Webサーバ公開型Gitリポジトリの情報漏えい」の世界的な影響は45%で、3位となっています。世界的に最もサイバー犯罪者から狙われている業界は、引き続き教育・研究分野がトップになりました。
日本での2022年5月の上位マルウェアファミリー
*矢印は、前月と比較した順位の変動に関するものです。
先月に続きEmotetが1位となり、20.98%の日本企業に影響を与えました。Lokibot (5.29%)、Formbook(1.96%)がそれに続く結果となっています。
1. ↔ Emotet – 2月より4ヶ月連続でトップに君臨しています。3月には12.52%の日本企業に影響を与え、4月には半分以下の5.2%へと落ち着きましたが、5月には4倍近い20.98%となり猛威をふるっています。Emotet は非常に高度なモジュール型トロイの木馬で、自己増殖します。かつてはバンキング型トロイの木馬として使用されていたEmotetですが、現在は他のマルウェアの拡散や、悪質なキャンペーンなどにも使われています。持続性を維持する様々な方法と検出を巧妙に回避する技術が搭載されており、Emotetは悪意のある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
2. ↑Lokibot – 4月の国内ランキングでは、10位以下だったLokibotが2位へと急浮上しました。2016年2月に初めて確認されたLokiBotは、WindowsとAndroid OSの両方のバージョンを持つコモディティ情報窃取ツールです。さまざまなアプリケーション、Webブラウザ、メールクライアント、PuTTYなどのIT管理ツールから認証情報を採取します。LokiBotはハッキングフォーラムで販売されており、そのソースコードが流出したため、多数の亜種が出現したと考えられています。2017年後半以降、LokiBotの一部のAndroid版には、情報盗み出し機能に加え、ランサムウェアの機能が搭載されています。
3. ↑Formbook – 3月より日本ランキングのトップ3に入り続けているFormbookは、Windows OSを標的とするインフォスティーラーです。2016年に初めて検出された同マルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは、「Malware as a Service (MaaS)」 として販売されています。さまざまなWebブラウザから認証情報を盗みとり、スクリーンショットを収集します。また、キーストロークの記録、C&C(コマンド&コントロール)サーバの命令に従い、ファイルをダウンロードし実行します。
グローバルで活発な上位のマルウェアファミリー
*矢印は前月と比較した順位の変動を表すものです。
5月も依然Emotetが流行しているマルウェアのトップとして全世界の8%の組織に影響を与えており、次いで全世界の2%の組織に影響を与えているFormbook、同じく2%の影響を及ぼしているAgent Teslaがそれに続いています。
1. ↔ Emotet – 国内ランキングと同様、Emotetは世界的にも影響を与えているマルウェアで、グローバルランキングにおいて1月より1位に君臨し続けています。
2. ↔ Formbook – 4月に引き続き、2番目に活発だったマルウェアです。国内ランキングでは3位にランクインしました。
3. ↔ Agent Tesla – 日本では5月ランキングで4位でした。Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出することが可能です。
世界で最も攻撃されている業種、業界
今月も、先月に引き続き、世界的に最も攻撃されている産業は「教育・研究」、次いで「政府・軍関係」、「ISP・MSP」となりました。
1. 教育・研究
2. 政府・軍関係
3. ISP・MSP
悪用された脆弱性のトップ
今月、最も広く悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の46%に影響を与えており、「Apache Log4jのリモートコード実行」が僅差で続いています。「Webサーバ公開型Gitリポジトリの情報漏えい」は全世界の45%に影響を与え、3位となりました。
1. ↑ Webサーバへの悪意あるURLによるディレクトリトラバーサル (CVE-2010-4598, CVE-2011-2474, CVE-2014-0130, CVE-2014-0780, CVE-2015-0666, CVE-2015-4068, CVE-2015-7254, CVE-2016-4523, CVE-2016-8530, CVE-2017-11512, CVE-2018-3948, CVE-2018-3949, CVE-2019-18952, CVE-2020-5410, CVE-2020-8260)– 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上においてディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモート攻撃者が脆弱性のあるサーバ上の任意のファイルを公開したり、ファイルにアクセスしたりすることが可能になります。
2. ↔ Apache Log4jのリモートコード実行 (CVE-2021-44228) – Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
3. ↓ Webサーバ公開型Gitリポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
モバイルマルウェアのトップ
今月もAlienBotが最も流行したモバイルマルウェアとなり、FluBotとxHelperがそれに続いています。
1. AlienBot – AlienBotマルウェアファミリーはAndroidデバイス向けのMaaSであり、リモートの攻撃者が攻撃の第一段階で悪意あるコードを正規の金融アプリケーションに注入することを可能にします。攻撃者は被害者たちのアカウントへのアクセス権を取得し、最終的には被害者のデバイスを完全に制御します。
2. FluBot – FluBotはフィッシングSMSメッセージ(通称スミッシング)を通じて拡散されるAndroid向けのマルウェアで、多くの場合は物流配送ブランドになりすまします。メッセージ内のリンクをユーザがクリックすると、Flubotが含まれた偽のアプリケーションをダウンロードするようリダイレクトされます。インストールされたFluBotは、連絡先リストのアップロードや他の電話番号へのSMSメッセージの送信など、認証情報を収集してスミッシングによる攻撃自体をサポートする様々な機能を備えています
3. xHelper – 2019年3月以降に確認されている悪質なアプリケーションで、他の悪質アプリケーションのダウンロードや広告の表示に利用されています。このアプリケーションは、ユーザの目から自身の姿を隠したり、アンインストールされた際に自身を再インストールしたりすることが可能です。
チェック・ポイントの Global Threat Impact Index と ThreatCloud Map は、チェック・ポイントの ThreatCloud インテリジェンスによって実現されています。ThreatCloud< https://www.checkpoint.com/infinity-vision/threatcloud/ >は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
5月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ< https://www.checkpoint.com/press/2022/may-2022s-most-wanted-malware-snake-keylogger-returns-to-the-top-ten-after-a-long-absence/ >でご覧いただけます。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。