包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. < https://www.checkpoint.com/ > 、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年6月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
Qbotが5月に続き国内・グローバルとも首位に立ち、上半期最も流行したマルウェアに
6月のランキングで引き続き国内・グローバルとも首位となったトロイの木馬型マルウェアQbotが、6カ月間の通算では5カ月で首位に立ち、2023年上半期に最も流行したマルウェアとなりました。一方6月のモバイルマルウェアリストでは、発見されたばかりのモバイル端末向けトロイの木馬SpinOkが首位に躍り出ました。また、ファイル共有ソフトMOVEitにゼロデイ脆弱性が発見され、多数の企業がランサムウェア攻撃を受けたことが話題となりました。
Qbotは2008年に登場したバンキング型トロイの木馬であり、パスワードや電子メール、クレジットカードの情報を窃取するための追加機能を獲得し、絶え間なく進化を遂げてきました。通常スパムメールを通して拡散され、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスといった様々なテクニックを駆使して分析を妨げ、検知を回避します。現在は他のマルウェアのローダーとして機能し、標的とする組織のシステム内で存在を確立して、ランサムウェアグループのオペレーターの足掛かりとなることを主な役割としています。
4億2100万ダウンロードを記録したSpinOk
一方、既に4億2,100万ダウンロードを記録しているモバイルマルウェアが発見されました。6月、トロイの木馬化されたソフトウェア開発キット(SDK)のSpinOkが、モバイルマルウェアファミリーのリストで初めてトップに躍り出ました。数多くの人気アプリにおいてマーケティング目的で使用されていたこの悪質なソフトウェアは、Google Playストアでも入手可能な人気のアプリやゲームに侵入していました。SpinOkはデバイスから機密情報を窃取しクリップボードの動作を監視する機能を持ち、ユーザーのプライバシーとセキュリティに深刻な脅威をもたらして、個人データとモバイル機器を保護するための予防的対策の必要性を浮き彫りにしました。これはまた、ソフトウェアサプライチェーン攻撃が壊滅的影響をもたらし得る可能性を想起させる事態ともなっています。
MOVEitの脆弱性を悪用したランサムウェアキャンペーンが発生
6月には世界中の組織に影響を与える大規模なランサムウェア攻撃キャンペーンも発生しました。2023年5月、Progress Software社が、ソフトウェア製品MOVEit TransferとMOVEit Cloudのシステム環境への不正アクセスを許す可能性がある脆弱性(CVE-2023-34362)を公開しました。脆弱性の発見から48時間以内にパッチが適用されたにも関わらず、ロシア系ランサムウェアグループClopに関連するサイバー犯罪者がこの脆弱性を悪用し、MOVEitユーザーへのサプライチェーン攻撃を開始しました。攻撃発生以降、アメリカの大学7校を含む108組織が犯行グループによるリスト上で名前を公開され、何百、何千ものデータが窃取されたと見られます。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「MOVEitに対するエクスプロイトは、2023年がランサムウェアにとって既に大きな意味を持つ一年になりつつあることを示しています。Clopのような活発なグループの活動は、単一のターゲットを感染させるための戦術に基づくのではなく、様々な企業環境で広く使われているソフトウェアを悪用することにより効率を高めています。このアプローチは、1回の攻撃で数百もの被害者に手が届くことを意味します。この攻撃パターンによって強調されるのは、企業が多層的なサイバーセキュリティ戦略を導入し、脆弱性が公表された際にパッチ適用を迅速に実施することの重要性です」
また、6月に最も悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の51%に影響を及ぼしました。2位には「Apache Log4jのリモートコード実行」が続き、世界的な影響は46%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は44%でした。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。
6月の国内ランキングは5月に続きQbotが国内組織の3.80%に影響を及ぼし首位に立ちました。2位にはグローバルでも2位のFormbookが影響値2.46%で順位を上げ、国内・グローバルはともにこの2つが上位を占める結果となっています。国内3位にはAgentTeslaとRemcosが影響値1.79%で並びました。
1. ↔ Qbot (3.80%) – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年のキャンペーン開始以来、最も流行しているトロイの木馬の一つに台頭しています。
2. ↑ Formbook(2.46%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
3. ↓AgentTesla (1.79%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
3. ↔ Remcos(1.79%)- 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
6月、Qbotが全世界の組織の7%に影響を与え、先月に引き続き世界的に最も流行したマルウェアの地位を占めました。2位はFormbookで世界的な影響は4%、3位にはEmotetが入り世界的な影響は3%でした。
1. ↔ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
2. ↔ Formbook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
3. ↑ Emotet – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
世界的に最も攻撃されている業種、業界
6月、世界的に最も攻撃されている業界は「教育・研究」、2位は「政府・軍関係」、3位は「保健医療」でした。
1. 教育・研究
2. 政府・軍関係
3. 保健医療
悪用された脆弱性のトップ
6月、最も広く悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の51%に影響を及ぼしました。続く2位は「Apache Log4jのリモートコード実行」で世界的な影響は46%、3位は「HTTPヘッダーのリモートコード実行」で世界的な影響は44%でした。
1. ↔ Webサーバへの悪意あるURLによるディレクトリトラバーサル – 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
2. ↔ Apache Log4jのリモートコード実行(CVE-2021-44228)- Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
3. ↔ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーは、クライアントとサーバがお互いにHTTPリクエストなどで追加情報を受け渡すためのものです。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。
モバイルマルウェアのトップ
6月、最も流行したモバイルマルウェアの首位にSpinOkが躍り出ました。2位にはAnubis、3位にはAhMythが続いています。
1. SpinOk – SpinOkは、スパイウェアとして機能するAndroidソフトウェアモジュールです。デバイス上に保存されたファイルの情報を収集し、悪意ある脅威アクターに転送する機能を有します。この悪質なモジュールは100以上のAndroidアプリ内に存在することが確認され、5月23日までに4億2,100万回以上ダウンロードされたことが分かっています。
2. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
3. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントのセキュリティを支える頭脳であるThreatCloud AI < https://www.checkpoint.com/infinity/threatcloud-ai/ > によって実現されています。ThreatCloud AIは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、台頭する脅威を特定・防御する40以上ものAIエンジンおよび機械学習テクノロジーと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
6月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/security/june-2023s-most-wanted-malware-qbot-most-prevalent-malware-in-first-half-of-2023-and-mobile-trojan-spinok-makes-its-debut/ > でご覧いただけます。
本プレスリリースは、米国時間2023年7月6日に発表されたブログ(英語) < https://blog.checkpoint.com/security/june-2023s-most-wanted-malware-qbot-most-prevalent-malware-in-first-half-of-2023-and-mobile-trojan-spinok-makes-its-debut/ > をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity/threatcloud-ai/ > に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
