チェック・ポイント・リサーチ、2023年4月に最も活発だったマルウェアを発表　日本国内ではEmotet（エモテット）が昨年11月以来の首位

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2023年05月23日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
大規模なマルスパム攻撃キャンペーンが確認されたQbotが国内・グローバルともに2位となる一方、最も攻撃されている業界では保健医療が2位に浮上

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2023年4月の最新版Global Threat Index（世界脅威インデックス）を発表しました。この4月には、複数の言語による電子メールに添付された悪質なPDFファイルによって拡散される、Qbotの大規模なマルスパム攻撃キャンペーンが確認されました。一方、IoT機器を狙うマルウェアMiraiがTP-Link製ルーターの脆弱性を悪用して1年ぶりにランク入りしています。また、最も攻撃されている業種・業界では保健医療が2位に順位を上げました。

Qbotを用いた新たな配布手法による攻撃キャンペーンを確認
4月の国内ランキングでは、3月に新たな攻撃キャンペーンが確認されたEmotetが昨年11月以来となる首位に立ちました。2月と3月に連続して国内首位だったQbotは国内2位に順位を落とし、グローバルでも同じく2位となっています。4月はこのQbotを用いた大規模な攻撃キャンペーンが確認され、保護されたPDFファイルを含む添付ファイルをメールに添付してターゲットに送信するという、新しい配布手法が用いられています。この添付ファイルをダウンロードすると、Qbotマルウェアが端末にインストールされます。CPRはこのマルスパムが複数の異なる言語で送信されていることを発見しました。これにより、世界中の組織が標的となる可能性があります。

IoTマルウェアMiraiが1年ぶりのランクイン
また4月にはIoT機器を標的とするマルウェアの代表格であるMiraiの復活も確認されました。Miraiは新しいゼロデイ脆弱性CVE-2023-1380を悪用してTP-Linkのルーターを標的として攻撃し、ボットネットに追加しています。このボットネットは、記録上最も破壊的な分散型DDoS攻撃の促進に使用されてきました。この最新の攻撃キャンペーンに先立ち、CPRはIoT機器を標的とするサイバー攻撃の急増 < https://prtimes.jp/main/html/rd/p/000000205.000021207.html > に関するレポートを公開しています。

保健医療業界が順位を上げ2位に
最も攻撃されている業界のランキングにも変化がありました。4月、保健医療が政府・軍関係を抜き、二番目に多く攻撃されている業界となりました。近年、医療機関へのサイバー攻撃が非常に多く確認されており、一部の国は依然絶え間ない攻撃にさらされています。例えば最近では、サイバー犯罪グループMedusaがオーストラリアのがん研究施設を標的とした攻撃 < https://www.scmp.com/week-asia/opinion/article/3219832/why-does-australia-keep-facing-cyberattacks-its-health-services > を行いました。保健医療業界は、患者の機密データや支払い情報にアクセスできる可能性があり、ハッカーにとっては大きな利益をもたらし得るターゲットです。臨床試験や新薬、最新の医療機器に関する情報漏えいにもつながる可能性があり、製薬会社などにも大きな影響を与えかねません。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は次のように述べています。
「サイバー犯罪者はセキュリティ対策を回避するための新たな手口を模索し続けており、今回発見されたキャンペーンは、マルウェアが生き残るための適応方法を示す更なる証拠です。Qbotが再び攻勢を強めていることで、包括的なサイバーセキュリティの導入の重要性と、メールの発信元や意図が信頼できるか判断する際に適切な注意を怠らないことの必要性が、改めて認識されました」

また、CPRによると、4月に最も悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の48%に影響を及ぼしました。続く2位は「Apache Log4jのリモートコード実行」で世界的な影響は44%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は43%でした。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、（）内の数字は国内企業への影響値を示しています。

国内ではEmotetが企業の４％に影響を与え、昨年11月以来となる首位に立ちました。2月3月と連続して首位だったQbotは順位を下げてグローバルと同じく2位となり、3位にはWindows OSを標的とするリモートアクセス型トロイの木馬Nanocoreがランクインしています。

↑ Emotet（4.07%）- Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。

↓ Qbot（3.87%）- Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。

↑ NanoCore（1.83%）- Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬（RAT）で、2013年に初めて流行が観測されました。このRATはそのすべてのバージョンで、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えています。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

4月、世界的に最も流行したマルウェアはAgentTeslaで、全世界の組織の10%以上に影響を与えました。次いで流行したのはQbotとFormBookで、世界的な影響はいずれも4%でした。

↑ AgentTesla - Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

↓ Qbot - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。

↔ FormBook - FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバの命令に従ってファイルをダウンロードして実行します。

世界的に最も攻撃されている業種、業界
4月、世界的に最も攻撃されている業界は「教育・研究」でした。続く2位には「保健医療」が順位を上げ、3位は「政府・軍関係」でした。

教育・研究

保健医療

政府・軍関係

悪用された脆弱性のトップ
4月、最も広く悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の48%に影響を及ぼしました。続く2位は「Apache Log4jのリモートコード実行」で世界的な影響は44%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は43%でした。

↑ Webサーバへの悪意あるURLによるディレクトリトラバーサル - 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

↓ Apache Log4jのリモートコード実行（CVE-2021-44228）- Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。

↓ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTPヘッダーは、クライアントとサーバがお互いにHTTPリクエストなどで追加情報を受け渡すためのものです。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ
4月も先月に引き続き、AhMythが最も流行したモバイルマルウェアの首位に立ちました。2位はAnubis、3位にはHiddadが続いています。

AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

Hiddad - HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。

チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloud < https://www.checkpoint.com/infinity/threatcloud-ai/ > インテリジェンスによって実現されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。

4月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/security/april-2023s-most-wanted-malware-qbot-launches-substantial-malspam-campaign-and-mirai-makes-its-return/ > でご覧いただけます。

本プレスリリースは、米国時間2023年5月11日に発表されたブログ（英語） < https://blog.checkpoint.com/security/april-2023s-most-wanted-malware-qbot-launches-substantial-malspam-campaign-and-mirai-makes-its-return/ > をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp