チェック・ポイント・リサーチ、2024年2月に最も活発だったマルウェアを発表　WordPressウェブサイトを標的とした新たなFakeUpdatesキャンペーンを確認

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年03月25日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
最も活発なランサムウェアのリストではPlayが初めてトップ3に登場したほか、世界的に最も攻撃を受けた業界のリストでは「教育・研究」が首位に。MaaSとして販売されるFormbookが国内ではトップ。

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ： CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年2月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

2月、リサーチャーたちはWordPressウェブサイトを危険にさらす最新のFakeUpdatesのキャンペーンを発見しました。被害に遭ったウェブサイトは、ハッキングされたwp-adminの管理者アカウントを使った攻撃でマルウェアに感染しており、このマルウェアは正規のWordPressプラグインの変更版を利用したり、個人を騙してリモートアクセス型トロイの木馬（RAT）マルウェアをダウンロードさせたりし、ウェブサイトへの侵入の手口を適応させていました。一方、2月末に摘発されたLockBit3ですが、2月のリストでは前月に引き続き最も活発なランサムウェアグループのトップに立っており、公にされているランサムウェア攻撃の20％を占めました。

FakeUpdates、別名SocGolishは、遅くとも2017年には活動が確認されているマルウェアで、JavaScriptを使用しており、ウェブサイト、特にコンテンツ管理システムを持つウェブサイトを標的としています。本調査の最も活発なマルウェアのランキングにもしばしば登場するFakeUpdatesは、ユーザーを騙して悪意あるソフトウェアをダウンロードさせることを目的としており、防御努力にも関わらず、ウェブサイトのセキュリティとユーザーのデータにとって重大な脅威であり続けています。この高度なマルウェアの亜種は、Evil Corpとして知られるロシアのサイバー犯罪集団と関連付けられてきました。FakeUpdatesはダウンローダーとしての機能を持つことから、このグループは感染したシステムへのアクセスを販売することでこのマルウェアを収益化していると考えられており、グループが複数の顧客にアクセスを提供している場合には他のマルウェアへの感染につながると思われます。

チェック・ポイントのリサーチ担当VP、マヤ・ホロウィッツ（Maya Horowitz）は、次のように述べています。
「ウェブサイトは、いわば私たちの世界におけるデジタルの店頭ともいえ、コミュニケーションや商取引、人とのつながりに欠かせないものとなっています。それらをサイバー脅威から守ることは、単にコードを安全に守るというだけのことではありません。私たちのオンライン上の存在と、相互に接続された社会に不可欠な機能を保護することなのです。もし、サイバー犯罪者がマルウェアを密かに拡散する手段としてウェブサイトを利用することを選択した場合、それは将来的な収益や組織の評判に影響を及ぼす可能性があります。脅威からの絶対的な保護を確実なものにするためには、脅威を防止する策を講じ、ゼロトレランスの姿勢をとることが不可欠です」

また、チェック・ポイントの脅威インデックスには、二重恐喝型ランサムウェアグループが運営する訳200のリークサイトから得られたインサイトも含まれています。これらのランサムウェアグループのうち68集団は、身代金を支払わないターゲットにプレッシャーを与えるため、今年に入って被害者の情報をサイトに掲載しています。2月も、LockNBit3はインシデント報告件数全体のうち20%を占めており、次いでPlayが8%、8baseが7%となっています。初めてトップ3にランクインしたPlayは、オークランドに対する最近のサイバー攻撃について犯行声明を出しています。

2月、最も悪用された脆弱性は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の51%に影響を及ぼしました。2位と3位は「HTTPへのコマンドインジェクション」と「Zyxel ZyWALLへのコマンドインジェクション」で、世界的な影響はそれぞれ50%でした。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

1. ↑ Formbook（2.95%）- FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行します。

2. ↓ FakeUpdates（1.77%）- FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

3. ↔ Snatch（0.88%）- Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使します。

3. ↑Smokeloader（0.88%）- SmokeLoaderは、感染したコンピュータを遠隔操作し、被害者の地理的位置に基づいて他のマルウェアをダウンロードおよびインストールしたり、FTPクライアント、ブラウザ、IMクライアント、ポーカークライアント、電子メールクライアントからパスワードを盗んだりするなど、さまざまな悪意のある活動を実行できるようにするトロイの木馬です。さらに、UAC（ユーザアカウント制御）やいくつかのHIPSをバイパスすることができ、ウイルス対策ソリューションを無効にする可能性があります。拡散方法はいくつか確認されており、エクスプロイトキットから、「マクドナルドでの無料朝食の提供」を謳ったスパムキャンペーンなどが挙げられます。

3. ↑ Qbot（0.88%） - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

3. ↑ AgentTesla（0.88%）- Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

2月、最も流行したマルウェアはFakeUpdatesで、全世界の組織の5%に影響を及ぼしました。続く2位はQbotで世界的な影響は3％、3位はFormbookで世界的な影響は2%でした。

1. ↔ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↔ Qbot - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

3. ↔ Formbook - FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行します。

悪用された脆弱性のトップ
2月、最も悪用された脆弱性は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の51%に影響を及ぼしました。2位は「HTTPへのコマンドインジェクション」、3位は「Zyxel ZyWALLへのコマンドインジェクション」で、それぞれ世界的な影響は50%でした。

1. ↑ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

2. ↓ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）- HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

3. ↑ Zyxel ZyWALLへのコマンドインジェクション（CVE-2023-28771）- Zyxel ZyWALLにはコマンドインジェクションの脆弱性が存在しています。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになります。

モバイルマルウェアのトップ
2月も、引き続きAnubisが最も流行したモバイルマルウェアの地位を維持しました。2位にAhMyth、3位にはHiddadがランクインしています。

1. Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2. AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

3. Hiddad - HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。

世界的に最も攻撃されている業種、業界
2月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「保健医療」でした。

1. 教育・研究
2. 政府・軍関係
3. 保健医療

最も活発なランサムウェアグループ
このセクションでは、二重恐喝型ランサムウェアグループが運営する約200のリークサイト（Shame Sites）から得られた情報を基にランキングを作成しています。サイバー犯罪者はこれらのサイトを利用し、身代金を即座に払わない被害者にさらなる圧力をかけます。これらのサイトから得られるデータにはサイトの性格がもたらす偏向が見られますが、企業にとって現在最大のリスクであるランサムウェアのエコシステムについて、貴重な洞察をもたらします。
2月、最も活発だったランサムウェアグループはLockBit3で、公表された攻撃全体のうち20%を首謀していました。続く2位はPlayで全体の8%を占め、3位の8baseは全体の9%を占めました。

1. Lockbit3 - LockBit3はRaaSモデルを用いるランサムウェアグループで、2019年9月に初めて報告されました。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていません。

2. Play - Playは、ランサムウェアタイプのプログラムの名前です。このように分類されるマルウェアは、データを暗号化し、複合化のための身代金を要求するというやり方で動作します。

3. 8base - 8Baseは、遅くとも2022年3月から活動が確認されているランサムウェア集団です。2023年半ばに著しく活動を活発化させ、大きく知名度を上げました。このグループではランサムウェアのさまざまな亜種の使用が確認されていますが、すべてに共通する要素はPhobosランサムウェアです。ランサムウェアに高度な技術を用いていることから明らかなように、8Baseの活動は洗練されており、二重恐喝の手法も駆使します。

2月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/ ）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinityPlatformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/ ）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp