チェック・ポイント・リサーチ、2023年12月に最も活発だったマルウェアを発表　Qbotが法執行機関による制圧から4カ月で復活

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年01月17日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
Qbotがホスピタリティ業界を狙うフィッシングキャンペーンで検出され復活を確認、また、ダウンローダーのFakeUpdatesがグローバルランキング首位に。国内ランキング首位のNanocoreはグローバルでも3位に浮上

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2023年12月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

2023年12月、Qbotの復活が確認されました。米国および国際法執行機関が「ダックハント作戦（Operation Duck Hunt）」によって同年8月にQbotのインフラを破壊後、4カ月での復活です。一方、グローバルのランキング首位にはJavaScriptダウンローダーのFakeUpdatesが急浮上し、世界で最も攻撃を受けた業種・業界のランキングは引き続き「教育・研究」分野が首位となりました。

Qbotの復活
2023年12月、Qbotは、ホスピタリティ業界の組織を標的とした小規模なサイバー攻撃の一部として使用されました。このキャンペーンではハッカーがIRSになりすまし、MicrosoftインストーラーにリンクするURLが埋め込まれたPDFの添付ファイルを含む、悪意ある電子メールを送信したことが確認されました。このインストーラーの作動がトリガーとなり、埋め込まれたダイナミックリンクライブラリ（DLL）を利用して目に見えないQbotが起動します。2023年8月の撲滅作戦以前には、Qbotは脅威インデックスの上位を独占し、10カ月連続して最も流行しているマルウェアのランキングの上位3位以内に入っていました。現時点では10位以内には戻っていないものの、以前のような悪名を取り戻すかどうかは今後数カ月間の動向によって明らかになると見られます。

一方、2023年末に復活したFakeUpdatesはその後も順位を上げ、12月には世界中の組織の2%に影響を与えて首位となりました。Nanocoreも6カ月連続で上位5位圏内を維持し、12月には3位となっています。また新たに、RamnitとGluptebaが上位10種の中に登場しました。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は次のように述べています。
「Qbotの拡散用インフラの解体から4カ月足らずの間に再びQbotの活動を目の当たりにしたことは、私たちにマルウェアキャンペーンの妨害が可能な一方で、その背後にいる脅威アクターは新たなテクノロジーに適応していくという事実を想起させるものです。組織がエンドポイントセキュリティ事前防止的アプローチを採用し、電子メールの発信元とその意図についてデューデリジェンス（適正評価手続き）を実施することが推奨されます」

また、CPRによると、2023年12月に最も悪用された脆弱性は「Apache Log4jのリモートコード実行」と「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも全世界の組織の46%に影響を及ぼしました。3位には僅差で「Zyxel ZyWALLへのコマンドインジェクション（CVE-2023-28771）」が続き、世界的な影響は43%でした。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

12月の国内ランキングは3位以内に6つのマルウェアがひしめく結果となりました。首位にNanocoreとRemcos、2位にAgentTeslaとFormbook、3位にLokibotとSmokeloaderが、それぞれ影響値2.38%、1.43%、0.95%で並びました。

1.↑ Nanocore （2.38%） - Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬（RAT）で、2013年に初めて流行が観測されました。このRATは、そのすべてのバージョンに、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えています。

1. ↑ Remcos（2.38%） - Remcosは2016年に初めて活動が確認されたRATで、スパムメールに添付された悪意あるMicrosoft Office ドキュメントを通じて拡散されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。

2. ↔ AgentTesla（1.43%） - Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

2. ↓ Formbook（1.43%） - FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードして実行します。

3. ↑ Lokibot （0.95%）- LokibotはWindowsとAndroid OSの両方のバージョンを持つコモディティ情報窃取ツールで、2016年2月に初めて確認されました。さまざまなアプリケーション、Webブラウザ、メールクライアント、PuTTYなどのIT管理ツールから認証情報を採取します。Lokibotはハッキングフォーラムで販売されており、そのソースコードが流出したため、多数の亜種が出現したと考えられています。2017年後半以降、Lokibotの一部のAndroid版には、情報盗み出し機能に加え、ランサムウェアの機能が搭載されています。

3. ↑ Smokeloader（0.95%）- SmokeLoaderは、感染したコンピュータを遠隔操作し、被害者の地理的位置に基づいて他のマルウェアをダウンロードおよびインストールしたり、FTPクライアント、ブラウザ、IMクライアント、ポーカークライアント、電子メールクライアントからパスワードを盗んだりするなど、さまざまな悪意のある活動を実行できるようにするトロイの木馬です。さらに、UAC（ユーザアカウント制御）やいくつかのHIPSをバイパスすることができ、ウイルス対策ソリューションを無効にする可能性があります。拡散方法はいくつか確認されており、エクスプロイトキットから、「マクドナルドでの無料朝食の提供」を謳ったスパムキャンペーンなどが挙げられます。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

2023年12月、最も流行したマルウェアはFakeUpdatesとFormbookで、全世界の組織の2%に影響を及ぼしました。3位にはNanocoreが、世界的な影響1%で続いています。

1. ↑ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↓ Formbook - FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードして実行します。

3. ↑ Nanocore - Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬（RAT）で、2013年に初めて流行が観測されました。このRATは、そのすべてのバージョンに、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えています。

悪用された脆弱性のトップ
2023年12月、最も多く悪用された脆弱性は「Apache Log4jのリモートコード実行（CVE-2021-44228）」と「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも全世界の組織の46%に影響を及ぼしました。3位は「Zyxel ZyWALLへのコマンドインジェクション（CVE-2023-28771）」で、世界的な影響は43%でした。

1. ↑ Apache Log4jのリモートコード実行（CVE-2021-44228 - Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。

2. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

3. ↔ Zyxel ZyWALLへのコマンドインジェクション（CVE-2023-28771）- Zyxel ZyWALLにはコマンドインジェクションの脆弱性が存在しています。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになります。

モバイルマルウェアのトップ
2023年12月も、引き続きAnubisが最も流行したモバイルマルウェアの地位に留まりました。2位にAhMyth、3位にはHiddadがランクインしています。

1. Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2. AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

3. Hiddad - HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。

世界的に最も攻撃されている業種、業界
2023年12 月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「通信」、3位は「政府・軍関係」です。

1. 教育・研究
2. 通信
3. 政府・軍関係

チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイントのインテリジェンス・リサーチ部門であるCPRによる独自のリサーチ・データによって強化されています。 2023年12月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。 Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X（旧Twitter）: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X（旧Twitter）:https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp