チェック・ポイント・リサーチ、2024年1月に最も活発だったマルウェアを発表　国内・グローバルともにFakeUpdatesが首位に

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年02月22日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
CPRは、本月次レポートに新たな項目「最も活発なランサムウェアグループランキング」を追加。国内被害も出したLockBit3が首位に

AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年1月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

CPRは1月、蔓延する新しいトラフィック配信システム（TDS）の活動を特定し、VexTrioと名付けました。VexTrioは7万以上の侵害されたサイトのネットワークを通じて、60以上のアフィリエイトを支援しています。一方、最も活発だったマルウェアランキングでは国内・グローバルともにFakeUpdatesが首位となり、今回のインデックスで新たに公開された「最も活発なランサムウェアグループ」ランキングではLockBit3が首位に立ちました。世界的に最も攻撃を受けた業種・業界は、引き続き「教育・研究」分野となっています。

VexTrioの活動を特定
2017年以降活動が確認されている不正な配信システムVexTrioは、数十に及ぶ協力者と共に、高性能のTDSを通じて悪意あるコンテンツを拡散しています。VexTrioの活動はマーケティングで利用される合法的なアフィリエイトネットワークに類似するシステムを用いているため、多くの場合検出が難しく、6年以上にわたり活動しているにもかかわらず活動規模はほぼ不明でした。この理由はVexTrioと特定の脅威アクターや攻撃チェーンとの結びつきを窺わせるものがほぼ存在しない点にあり、VexTrioは広範なネットワークと高度なオペレーションによって重大なサイバーセキュリティリスクとなっています。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、次のように述べています。
「サイバー犯罪者は、単なるハッカーから詐欺手法を構築するアーキテクトへと進化しています。VexTrioは、この分野がいかに商業的な利益追求型になっているかを再認識させる例のひとつです。個人、そして組織は、安全を維持するために、サイバーセキュリティの定期的なアップデートを優先事項とし、強固なエンドポイント保護を採用し、接続された環境において警戒心を保ち続ける文化を醸成する必要があります。常に最新の情報を把握し、積極的に行動することによって、私たちは新たなサイバー脅威がもたらすさまざまに進化する危機に対し、一丸となって堅い防御を実現できるのです」

「最も活発なランサムウェアグループランキング」を追加
今回のチェック・ポイントの脅威インデックスでは、「最も活発なランサムウェアグループランキング」が、200を超えるリークサイトの活動に基づき初めて追加されました。1月、最も活発だったランサムウェアグループはLockBit3で、公表された攻撃の20%を占めました。LockBit3はサンドイッチチェーンSubwayへの攻撃や、シカゴのセント・アンソニー病院への攻撃など、複数の注目すべき事件を1月中に起こしています。
また、CPRの報告によると、1月に最も悪用された脆弱性は「HTTPへのコマンドインジェクション」で、全世界の組織の44%に影響を及ぼしました。続く2位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、世界的な影響は41%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は40%でした。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

1月の国内ランキングは、グローバルランキングでも首位のFakeUpdatesが国内企業の2.02%に影響を与え首位に立ちました。2位にはFormbookが影響値1.52%で、3位にはSnatchが影響値1.26%で続いています。
- ↑ FakeUpdates（2.02%） - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

- ↔ Formbook（1.52%） - FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行します。

- ↑ Snatch（1.26%） - Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使します。

グローバルで活発な上位のマルウェアファミリー
*矢印は前月と比較した順位の変動を示しています。

1月、世界的に最も活発だったのは国内ランキングでも首位となったFakeUpdatesで、全世界の組織の4%に影響を与えました。2位はQbotで世界的な影響は3%、3位にはFormbookがランクインし、世界的な影響は2%でした。

1. ↔ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↑ Qbot - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

3. ↓ Formbook - FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行します。

悪用された脆弱性のトップ
1月、最も悪用された脆弱性は「HTTPへのコマンドインジェクション」で、全世界の組織の44%に影響を及ぼしました。2位は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、世界的な影響は41%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は40%でした。

1. ↑HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）- HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

2. ↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

3. ↑ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ
1月もAnubisが最も流行したモバイルマルウェアの首位を維持しました。2位にはAhMyth、3位にはHiddadが続いています。

1. Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2. AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

3. Hiddad - HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。

世界的に最も攻撃されている業種、業界
1月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「保健医療」でした。

1. 教育・研究
2. 政府・軍関係
3. 保健医療

最も活発なランサムウェアグループ
このセクションでは、二重恐喝型ランサムウェアグループが運営する約200のリークサイト（Shame Sites）から得られた情報を基にランキングを作成しています。2024年に入ってから、それらのサイトのうち68に被害者の名と情報が掲載されました。サイバー犯罪者はこれらのサイトを利用し、身代金を即座に払わない被害者にさらなる圧力をかけます。これらのサイトから得られるデータにはサイトの性格がもたらす偏向が見られますが、企業にとって現在最大のリスクであるランサムウェアのエコシステムについて、貴重な洞察をもたらします。
1月、最も活発だったランサムウェアグループはLockBit3で、公表された攻撃全体のうち20%を首謀していました。続く2位は8Baseで全体の10%を占め、3位のAkiraは全体の9%を占めました。

1. LockBit3 - LockBit3はRaaSモデルを用いるランサムウェアグループで、2019年9月に初めて報告されました。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていません。

2. 8base - 8Baseは、遅くとも2022年3月から活動が確認されているランサムウェア集団です。2023年半ばに著しく活動を活発化させ、大きく知名度を上げました。このグループではランサムウェアのさまざまな亜種の使用が確認されていますが、すべてに共通する要素はPhobosランサムウェアです。ランサムウェアに高度な技術を用いていることによって明らかなように、8Baseの活動は洗練されており、二重恐喝の手法も駆使します。

3. Akira - 2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としています。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似しています。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布されます。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示されます。

2024年1月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログにてご覧いただけます。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（ https://www.checkpoint.com/ ）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinityPlatformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（ https://www.checkpoint.com/jp/ ）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp