チェック・ポイント、2022年10月に最も活発だったマルウェアを発表 攻撃急増のLokibotが国内ランキング首位・グローバル3位に
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
グローバルではAgent TeslaがFormBookに代わり首位。新たに重大な脆弱性「Text4Shell」が明らかに。
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年10月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
Lokibotが急増、日本のランキング首位に
国内ランキングでは、10月に攻撃数の著しい増加を示したインフォスティーラーのLokibotが15.40%の組織に影響を与えて首位に立ちました。Lokibotはグローバルでも本年5月以来、初めて第3位にランクインしています。次いで国内ランキング2位となったのは、国内組織の7.57%に影響を与えたキーロガーのAgentTeslaです。AgentTeslaは全世界の組織の7%に影響を与え最も流行しているマルウェアとしてグローバルランキングの首位に立っています。 また同率の国内ランキング2位としてSnakeKeyloggerが並んでいます。また、Apache Commons Textライブラリに影響を及ぼす新たな脆弱性「Text4Shell」が公表されました。
Lokibotは、ウェブブラウザや電子メールクライアント、IT管理ツールなどを含む様々なアプリケーションから認証情報を窃取するよう設計されたコモディティインフォスティーラーです。トロイの木馬型マルウェアであるLokibotは、正規のプログラムを装うことにより検知を避け、システムに忍び込むことを目的としています。拡散の手段として使われるのは、フィッシングメール、悪意あるウェブサイト、SMS、またはその他のメッセージプラットフォームです。Lokibotによる攻撃が増えた背景には、オンライン上の商取引にかかわる問い合わせや注文、入金確認などのメールを装ったスパムメールの増加があると考えられます。
重大な脆弱性「Text4Shell」が明らかに
また、10月には新たに重大な脆弱性「Text4Shell」(CVE-2022-42889)が明らかになりました。この脆弱性はApache Commons Textの機能をベースとしており、特定の権限やユーザーの操作を必要とせず、ネットワーク経由での攻撃を可能にします。Text4shellは、発見から1年経った今も大きな脅威の一つであり10月の脆弱性ランキングでも2位のApache Log4jの脆弱性、Log4Shellを彷彿とさせます。Text4Shellは10月の悪用された脆弱性リストでは上位に入りませんでしたが、すでに全世界の8%以上の組織に影響を与えています。チェック・ポイントは、今後もこの脆弱性の影響を監視していく予定です。
チェック・ポイントのリサーチ担当VP、マヤ・ホロウィッツ(Maya Horowitz)は、次のように述べています。
「10月は、マルウェアファミリーの上位3位に並ぶすべてが入れ替わるなど、ランキングに大きな変化が見られました。興味深いのは、Lokibotがこれほど早く3位にまで返り咲いたことです。これはフィッシング攻撃が増加傾向にあることを示しています。購買活動が盛んになる11月も警戒を怠らず、悪質なコードを含む可能性のある不審なメールに目を光らせることが重要です。
見慣れない送信者や、個人情報の要求、リンクなどの怪しい気配に注意してください。疑わしい場合は、公式ウェブサイトに直接アクセスし、認証された確かな情報源から連絡先の情報を見つけてください。また、ご自身のデバイスにマルウェア対策が有効になっていることも再度確認してください」
また、CPRが明らかにしたところによれば、10月に最も広く悪用された脆弱性は「Webサーバ公開型Gitリポジトリの情報漏えい」で、全世界の組織の43%に影響を与えています。2位には僅差で「Apache Log4jのリモートコード実行」が続き、41%に影響を与えました。世界的に最もサイバー攻撃が集中した業界のリストでは、10月も依然として「教育・研究」分野がトップに立っています。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。
日本のランキング首位に立ったのは、10月に攻撃数が急増しグローバルでも第3位にランクインしたLokibotで、国内組織の15.40%に影響を与えました。次いでAgentTeslaとSnakeKeyloggerがともに国内組織の7.57%に影響を与え2位に並ぶ結果となりました。
↑Lokibot (15.40%) – Lokibotは主にフィッシングメールを介して拡散されるインフォスティーラーです。電子メールの認証情報、仮想通貨ウォレットやFTPサーバのパスワードなど、様々なデータの窃取に使用されます。
↓ Agent Tesla (7.57%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
↑ Snake Keylogger (7.57%) - 2020年11月末に初めて発見されたSnake Keyloggerは、モジュール型の.NETキーロガー、そして認証情報の窃取ツールであり、主な機能は、ユーザーのキーストロークを記録し、集積したデータを脅威アクターに送信するというものです。このマルウェアは特に回避性能が高く、あらゆる種類の機密情報を盗むことが可能であるため、ユーザーのオンラインにおける安全性に対し、大きな脅威となります。
↑ FormBook (1.57%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
10月は、Agent Teslaが最も流行したマルウェアとなり、全世界の7%の組織に影響を及ぼしました。続く2位はSnake Keylogger で影響は5%、3位はLokibotで影響は4%です。
↑ Agent Tesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
↑ Snake Keylogger - 2020年11月末に初めて発見されたSnake Keyloggerは、モジュール型の.NETキーロガー、そして認証情報の窃取ツールであり、主な機能は、ユーザーのキーストロークを記録し、集積したデータを脅威アクターに送信するというものです。このマルウェアは特に回避性能が高く、あらゆる種類の機密情報を盗むことが可能であるため、ユーザーのオンラインにおける安全性に対し、大きな脅威となります。
↑Lokibot – Lokibotは主にフィッシングメールを介して拡散されるインフォスティーラーです。電子メールの認証情報、仮想通貨ウォレットやFTPサーバのパスワードなど、様々なデータの窃取に使用されます。
世界的に最も攻撃されている業種、業界
10月も変わらず、世界的に最も攻撃されている業界は「教育・研究」でした。2位は「政府・軍関係」、3位は「保健医療」となっています。
教育・研究
政府・軍関係
保健医療
悪用された脆弱性のトップ
10月も引き続き、最も広く悪用された脆弱性は「Webサーバ公開型Git リポジトリの情報漏えい」で、全世界の組織の43%に影響を及ぼしています。続く2位にも前月と変わらず「Apache Log4jのリモートコード実行」が留まり、世界的な影響は41%です。また3位には「HTTPヘッダーのリモートコード実行」が入り、世界的な影響は39%でした。
↔ Webサーバ公開型Git リポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
↔ Apache Log4jのリモートコード実行(CVE-2021-44228)– Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTPヘッダーは、クライアントとサーバがHTTPリクエストで互いに追加情報を受け渡すためのものです。リモート攻撃者は脆弱なHTTPヘッダーを悪用することにより、被害者のマシン上で任意のコードを実行することができます。
モバイルマルウェアのトップ
10月も9月同様、Anubisが最も流行したモバイルマルウェアの首位に立ち、2位にHydra、3位にJokerが続いています。
Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
Hydra – Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬です。
Joker – JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者の同意や認識を得ずに有料のプレミアムサービスに登録することも可能です。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ > は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
10月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/2022/11/08/octobers-most-wanted-malware-agenttesla-knocks-formbook-off-top-spot-and-new-text4shell-vulnerability-disclosed/ > でご覧いただけます。
本プレスリリースは、米国時間2022年11月10日に発表されたプレスリリース(英語)< https://www.checkpoint.com/press-releases/check-point-softwares-cybersecurity-predictions-for-2023-expect-more-global-attacks-government-regulation-and-consolidation/ >をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan