チェック・ポイント、2022年11月に最も活発だったマルウェアを発表 復活したEmotet、Qbotなどトロイの木馬型マルウェアが活発な月に
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2022年12月22日
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
Emotetが日本の首位・グローバル第2位に復活し、Qbotは2021年以来となるランクイン。攻撃が集中している業界は「教育・研究」が依然トップに。
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年11月の最新版Global Threat Index(世界脅威インデックス)を発表しました。
Emotetが復活、日本のランキング首位に
この11月、トロイの木馬型マルウェアEmotetが、夏の間の短い停止期間を経て活動を再開したことが確認されました。また、2021年7月以来久しぶりにQbotが3位に浮上し、世界的に4%の影響を与えたほか、不正なUSBドライブを経由してマシンに感染する巧妙なワーム、Raspberry Robin攻撃の顕著な増加も見られました。
2022年7月、チェック・ポイント・リサーチ(Check Point Research、以下CPR)はEmotetの世界的な影響力や活動が大幅に減少したことを報告 < https://prtimes.jp/main/html/rd/p/000000133.000021207.html > し、その不在は一時的なものにすぎないことを予測していました。その予測どおり、自己増殖するトロイの木馬型マルウェアであるEmotetは現在再び脅威インデックスの上位へと浮上し、日本国内および世界中の組織の約4%に影響を与えて、11月に流行したマルウェアの国内首位、グローバルでは2位にランクインしています。Emotetは当初、金融データを盗むトロイの木馬として登場しましたが、そのモジュラーデザインによって他のマルウェアを拡散するディストリビューターへと進化し、フィッシング攻撃を通じて一般的に広まりました。Emotetの流行の拡大には、11月に新たに開始されたマルスパム(マルウェアが仕込まれた添付ファイルを送りつけるスパムメール)の攻撃キャンペーン < https://thehackernews.com/2022/11/notorious-emotet-malware-returns-with.html >が関係していると見られます。このマルスパムは、バンキング型トロイの木馬IcedIDのペイロード配布を目的として設計されたものです。
Qbotも再浮上、トロイの木馬型マルウェアが影響力示す
また、銀行の認証情報やキーストロークを盗み出すバンキング型トロイの木馬Qbotが2021年7月以来にランキングに再登場し、日本国内で3%、世界的には4%の組織に影響を及ぼし、国内2位、グローバル3位にランクインしました。このマルウェアの背後にいるのは金銭を目的としたサイバー犯罪者であり、マルウェアに感染し侵害されたシステムから、財務データや銀行の認証情報、ウェブブラウザ情報などを盗み出します。システムがQbotに感染すると、脅威アクターはバックドアをインストールしてランサムウェアのオペレーターにアクセス権を付与し、ダブルエクストーション(二重恐喝)攻撃を行います。この11月には、QbotがWindowsのゼロデイ脆弱性を悪用< https://www.bleepingcomputer.com/news/security/new-attacks-use-windows-security-bypass-zero-day-to-drop-malware/ >し、感染したネットワークへの脅威アクターによるフルアクセスを可能にした例も確認されています。
また11月には、悪意あるUSBドライブを介して感染する巧妙なワーム、Raspberry Robinの増加も確認されました。感染に利用されるUSBドライブには、一見すると正規に見えるが、実際には感染源となるWindowsのショートカットファイルが含まれています。Microsoftの調査 < https://securityboulevard.com/2022/11/raspberry-worm-exposes-larger-more-complex-malware-ecosystem/ >によれば、Raspberry Robinは広範に拡散されたワームから、他のマルウェアを配布するための感染プラットフォームへと進化を遂げており、他のマルウェアファミリーとも連携して、当初のUSBドライブによる拡散に代わる別の感染手法も用いるようになっています。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「巧妙なマルウェアは、沈静化し休眠したかのように見える期間があるにせよ、そう長い間沈黙を守れるものではないことを再認識させられた、最近数週間の動向でした。気を抜くような余裕はないのです。電子メールの開封、リンクのクリック、ウェブサイトの閲覧、そして個人情報の共有を行う際には、警戒を怠らないことが誰にとっても重要です」
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。
日本のランキングは3位圏内に5つのマルウェアが並ぶ結果となりました。まず、夏の間の沈黙を破りグローバルでも2位となったEmotetが国内組織の3.87%に影響を与え、首位に復活しました。次いで2位には10月に国内3位だったFormbookが順位を上げ、こちらもグローバルで復活の勢いを示したQbotとともに3.04%の影響力で並んでいます。また、3位には同じく10月に国内2位だったAgentTeslaが順位を下げ、同じ1.66%の影響力を示したEsfuryと並ぶ結果となりました。
1. ↑Emotet (3.87%) – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
2. ↑FormBook (3.04%) – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
2. ↑Qbot (3.04%) - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
3. ↓Agent Tesla (1.66%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
3. ↑Esfury (1.66%) – Esfuryは侵害したシステムが追加攻撃に対して脆弱になるよう仕向けるワームで、リムーバブルドライブやネットワークドライブを介して拡散されます。Esfuryがコンピュータ内に侵入すると、コマンド取得のためリモートウェブサイトに接続します。また、Internet Explorerのデフォルトページやシステム設定の変更に加え、ホストファイルや多くのセキュリティ設定に対しても変更を行い、多数のプロセスを終了させたり、アクセスを阻害したりします。インターネット閲覧を妨害する機能も備え、検索から特定の広告ウェブサイトへの誘導や、ネットワーク速度の低下をもたらします。
グローバルで活発な上位のマルウェアファミリー
*矢印は前月と比較した順位の変動を示しています。
11月も、AgentTeslaが前月に引き続いて最も流行したマルウェアの首位に留まり、全世界の組織の6%に影響を及ぼしました。2位は久々に登場したEmotetで世界的な影響は4%、3位はQbotで影響は4%です。
↔ Agent Tesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出します。
↑ Emotet – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
↑ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなどの複数の手法を用いて解析を妨げ、検知を回避します。
世界的に最も攻撃されている業種、業界
11月も変わらず、世界的に最も攻撃されている業界は「教育・研究」でした。2位は「政府・軍関係」、3位は「保健医療」となっています。
教育・研究
政府・軍関係
保健医療
悪用された脆弱性のトップ
11月、最も広く悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の46%に影響を及ぼしています。続く2位は45%に影響を及ぼした「Webサーバ公開型Git リポジトリの情報漏えい」、3位は前月に引き続き42%に影響を及ぼした「HTTPヘッダーのリモートコード実行」がランクインしています。
↑ Webサーバへの悪意あるURLによるディレクトリトラバーサル(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、 CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
↓ Webサーバ公開型Git リポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
↔ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTPヘッダーは、クライアントとサーバがお互いにHTTPリクエストなどで追加情報を受け渡すためのものです。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。
モバイルマルウェアのトップ
11月も先月に続き、Anubisが最も流行したモバイルマルウェアの首位に立ち、2位にHydra、3位にAlienBotが続いています。
Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
Hydra – Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬です。
AlienBot – AlienBotはAndroidデバイス向けのバンキング型トロイの木馬です。サービスとしてのマルウェア(MaaS)としてアンダーグラウンドで販売されており、キーログ、認証情報を盗むためのダイナミックオーバーレイ、2FA(二段階認証)バイパスのためのSMS情報の窃取などの機能をサポートしています。また、TeamViewerモジュールを使用することで、遠隔コントロールの機能を追加することができます。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ > は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
11月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/2022/12/13/november-2022s-most-wanted-malware-a-month-of-comebacks-for-trojans-as-emotet-and-qbot-make-an-impact/ >でご覧いただけます。
本プレスリリースは、米国時間2022年12月13日に発表されたプレスリリース(英語)< https://www.checkpoint.com/press-releases/november-2022s-most-wanted-malware-a-month-of-comebacks-for-trojans-as-emotet-and-qbot-make-an-impact/ >をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
