包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年1月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
GuLoaderとAgentTeslaがともに国内ランク首位に
1月の国内ランキングでは、グローバルランキングでも8位となったダウンローダのGuLoaderが国内組織の14%に影響を与えて首位に立ち、前月4位のAgentTeslaと並びました。GuLoaderは昨年8月にもグローバルでの急な活発化が確認されており、当初はParallax RATのダウンローダとして使用され、その後Netwierや FormBook、また今回同じく首位となったAgentTeslaなどのリモートアクセス型トロイの木馬やインフォスティーラーにも採用されています。GuLoaderは電子メールを用いた大規模なフィッシング詐欺キャンペーンを通じて拡散されることが多く、用いられるフィッシングメールは被害者を誘導して悪意あるファイルをダウンロード、開封させ、マルウェアの実行を可能にします。
Vidarが関連するブランドジャッキング事例が増加
グローバルでは著名なブランド等になりすますブランドジャッキング事例の増加を経てインフォスティーラーVidarが7位で再びランクインした他、中東・北アフリカ地域における大規模なnjRATマルウェアのフィッシングキャンペーンの発生が報告されています。
1月、リモートデスクトップソフトウェア企業のAnyDesk社との関連を偽装するドメインを通じた、インフォスティーラーVidarの拡散が確認されました。Vidarは、一般に普及している様々なアプリケーションで偽装・隠ぺいしたリンクやボタンを設置しクリックを誘導するクリックジャッキングを利用し、AnyDeskの公式ウェブサイトを名乗る1つのIPアドレスにユーザーをリダイレクトします。このマルウェアは、ひとたびダウンロードされると正規のインストーラーを装い、ログイン情報やパスワード、仮想通貨ウォレットのデータ、バンキング情報の詳細など、様々な機密情報を窃取します。
njRATを拡散する大規模なマルウェアキャンペーンが発生
また、中東から北アフリカにわたる地域のターゲットにnjRATマルウェアを拡散する大規模なマルウェアキャンペーン、「Earth Bogle」の発生が確認されました。攻撃者は地政学的テーマを含むフィッシングメールを利用して、受信したユーザーが悪意ある添付ファイルを開くよう仕向けます。トロイの木馬型マルウェアであるnjRATは、ダウンロードと開封によりデバイスを感染させ、攻撃者は機密情報の窃取を目的とした数々の侵入活動が可能になります。njRATは2022年9月以降減少しており、今回は流行したマルウェアランキングの10位となりました。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「またしても、マルウェアグループが信頼度の高いブランドをウイルス拡散に利用し、個人を特定できる情報の窃取を狙う事例が確認されています。クリックしようとするリンクが正当なURLであるかどうかの確認に注意を払うことの重要性は、いくら強調しても十分ではありません。URLに最新のSSL証明書を示す鍵マークがあるかどうかを注視し、悪意あるウェブサイトであることを示唆する隠れたタイプミスなどに注意しましょう」
また、CPRの報告によると、1月に最も悪用された脆弱性は前月に引き続き「Webサーバ公開型Gitリポジトリの情報漏えい」で、世界の組織の46%に影響を与えました。続く2位は「HTTPヘッダーのリモートコード実行」で影響力は42%です。3位には「MVPower DVRのリモートコード実行」が入り、世界的な影響は39%でした。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。
国内ランキングでは前月首位のFormbookが順位・影響力ともに下げ3位となり、代わってAgentTeslaが国内組織の14%に影響を与え首位となりました。同じく首位となったGuLoaderは昨年8月にグローバルでの急激な活発化が確認されたダウンローダで、AgentTeslaにも採用されています。2位にはQbotが留まりました。
1. ↑AgentTesla (14.24%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
1. ↑ GuLoader (14.24%) – GuLoaderは、2019年12月以降広く使われ始めたダウンローダです。当初Parallax RATのダウンローダとして使用されており、その後Netwierや FormBook、AgentTeslaなどのリモートアクセス型トロイの木馬やインフォスティーラーにも採用されています。GuLoaderは電子メールを用いた大規模なフィッシング詐欺キャンペーンを通じて拡散されることが多く、用いられるフィッシングメールは被害者を誘導して悪意あるファイルをダウンロード、開封させ、マルウェアの実行を可能にします。
2. ↔ Qbot (3.80%) – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
3. ↓ FormBook (3.16%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
1月、世界的に最も流行したマルウェアはQbotとLokibotで、Qbotは全世界の組織に6%以上、Lokibotは5%以上の影響を与えています。3位にはAgentTeslaが入り、世界的な影響は5%でした。
1. ↑ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
2. ↑ Lokibot – LokibotはWindowsとAndroid OSの両方のバージョンを持つコモディティ情報窃取ツールで、2016年2月に初めて確認されました。さまざまなアプリケーション、Webブラウザ、メールクライアント、PuTTYなどのIT管理ツールから認証情報を採取します。Lokibotはハッキングフォーラムで販売されており、そのソースコードが流出したため、多数の亜種が出現したと考えられています。2017年後半以降、Lokibotの一部のAndroid版には、情報盗み出し機能に加え、ランサムウェアの機能が搭載されています。
3. ↑AgentTesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
世界的に最も攻撃されている業種、業界
1月、世界的に最も攻撃されている業界は依然、「教育・研究」でした。2位は「政府・軍関係」、3位は「保健医療」となっています。
1. 教育・研究
2. 政府・軍関係
3. 保健医療
悪用された脆弱性のトップ
1月に最も広く悪用された脆弱性は「Webサーバ公開型Git リポジトリの情報漏えい」で、全世界の46%の組織に影響を及ぼしました。続く2位は「HTTPヘッダーのリモートコード実行 」で世界的な影響は42%、3位には「MVPower DVRのリモートコード実行」が登場し、世界的な影響は39%でした。
1. ↔ Webサーバ公開型Git リポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
2. ↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストなどで追加情報を受け渡すためのものです。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。
3. ↑MVPower DVRのリモートコード実行 – MVPowerのDVR(デジタルビデオレコーダー)デバイスには、リモートでコードを実行される脆弱性が存在しています。攻撃者は遠隔でこの弱点を悪用し、細工を施したリクエストによって、影響下にあるルーターで任意のコードを実行します。
モバイルマルウェアのトップ
1月は、Anubisが引き続き最も流行したモバイルマルウェアとなり、2位にHiddad、3位にはAhMythが続きました。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
2. Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。
3. AhMyth – AhMythは2017年に発見されたリモートアクセス型トロイの木馬(RAT)で、アプリストアや各種ウェブサイトで入手可能なAndroidアプリを媒介として配布されます。このマルウェアに感染したアプリをユーザーがインストールすると、デバイス上での機密情報の収集と、キーログの収集やスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など機密情報を窃取するためのアクションがマルウェアによって可能になります。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ > インテリジェンスによって実現されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイントのインテリジェンス・リサーチ部門であるCPRによる独自のリサーチ・データによって強化されています。
1月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/2023/02/13/january-2023s-most-wanted-malware-infostealer-vidar-makes-a-return-while-earth-bogle-njrat-malware-campaign-strikes/ > でご覧いただけます。
本プレスリリースは、米国時間2023年2月13日に発表されたブログ(英語) < https://blog.checkpoint.com/2023/02/13/january-2023s-most-wanted-malware-infostealer-vidar-makes-a-return-while-earth-bogle-njrat-malware-campaign-strikes/ > をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel:03-4405-9537 Fax:03-4332-2354
E-mail: checkpointPR@next-pr.co.jp