チェック・ポイント・リサーチ、2024年4月に最も活発だったマルウェアを発表。国内ランキングで初の首位となったAndroxgh0stによる攻撃が世界的に急増

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年05月17日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
Windows、Mac、Linuxを狙うトロイの木馬型マルウェア「Androxgh0st」が急増しグローバルでも2位に急浮上。LockBit3ランサムウェアは減少しつつも依然グローバルで首位に

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年4月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

世界的にも急増の「Androxgh0st」が国内ランキングの首位に
4月、マルウェア「Androxgh0st」による攻撃が大幅に増加し、国内ランキングで首位、グローバルランキングでも2位に急浮上しました。このマルウェアは、ボットネットを利用して機密情報を窃取するためのツールとして使用されていることが明らかになっています。一方LockBit3は、4月も依然として最も流行しているランサムウェアグループの位置に留まったものの、本年初頭に比べ検出率が55%低下し、世界的な影響値は20%から9%に減少しています。

脅威研究者は、Androxgh0stを用いる脅威アクターが2022年12月に出現して以来、活動の監視を続けてきました。脆弱性CVE-2021-3129やCVE-2024-1709などを悪用するこの攻撃者は、遠隔操作を目的としてWebShellを展開する一方、認証情報を窃取するためボットネットの構築に注力しています。これは、FBIとCISAが共同で発表したサイバーセキュリティ勧告（CSA）において指摘されています。特記すべきは、この脅威アクターがAdhublikaランサムウェアの配布と関連を持ってきた点です。Androxgh0stの脅威アクターはLaravelアプリケーションの脆弱性を好んで悪用し、AWS、SendGrid、Twilioなどクラウドをベースとしたサービスの認証情報を奪っています。最近では、より広範なシステムを悪用するためのボットネット構築への注力の移行が兆候によって示唆されています。

LockBit3は法執行機関の制圧により後退
また、チェック・ポイントの脅威インデックスでは、二重恐喝型ランサムウェアグループが運営し、身代金の支払いを拒むターゲットへの圧力として被害者の情報を掲載するリークサイト（Shame sites）から得られるインサイトを紹介しています。LockBit3は報告された攻撃の9%を占めて今一度ランキングの首位に立ち、Playが7%、8Baseが6%で続いています。今回トップ3に再登場した8Baseは最近の主張において、国連のITシステムに侵入し人事および調達関連の情報を流出させたとしています。LockBit3は首位に留まっているものの、このグループは最近、複数回にわたる後退を経験しています。2月には、「オペレーション・クロノス」と銘打たれた複数の執行機関によるキャンペーンの一環として同グループのデータリークサイトが制圧されました。一方今月には同じ国際的な法執行機関が新たな作戦の詳細を発表、LockBit3を使用している194の関連組織を特定すると共に、グループのリーダーの身元を明らかにして制裁を行いました。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、次のように述べています。
「CPRの調査によるとLockBit3撲滅のための国際的な取り組みは成功したと見られ、2024年初頭以来、LockBit3の世界的な影響は50%以上減少しています。しかしそうした最近の望ましい進展に関わらず、組織は引き続き、ネットワーク、エンドポイント、電子メールのセキュリティを積極的に強化することによって、サイバーセキュリティの優先度を高めていく必要があります。多層防御の導入と、強固なバックアップ、リカバリー手順、インシデント対応計画の確立が、サイバーレジリエンスを高める上で重要な鍵であることに変わりはありません」

4月、世界的に最も悪用された脆弱性は「HTTPへのコマンドインジェクション」と「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも全世界の組織の52%に影響を及ぼしました。3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は45%でした。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

国内ランキングはグローバルランキング2位に急浮上のAndroxgh0stが首位に立ち、2月から引き続き首位だったFormbookは3位となりました。2位には4月のグローバルランキング首位となったFakeUpdatesが、で3月の国内ランキング3位から順位を上げています。

1.↑ Androxgh0st（3.53%） - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

2. ↑ FakeUpdates（2.02%）- FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

3. ↓ Formbook（1.51%）- FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行します。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

4月、最も流行したマルウェアはFakeUpdatesで、全世界の組織の6%に影響を及ぼしました。続く2位はAndroxgh0stで世界的な影響は4%、3位はQbotで、世界的な影響は3%でした。

1. ↔ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↑ Androxgh0st - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

3. ↓ Qbot - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM（仮想マシン）、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。2022年以来、最も流行しているトロイの木馬のひとつとして台頭しています。

悪用された脆弱性のトップ
4月、最も悪用された脆弱性は「HTTPへのコマンドインジェクション」と「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、いずれも世界的な影響は52%でした。続く3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は45%でした。

1.↔ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）- HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

2.↔ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります

3.↑ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ
4月、最も流行したモバイルマルウェアはAnubisで、2位にはAhMyth、3位にはHiddadがランクインしました。

1. ↔ Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2. ↔ AhMyth - AhMythは、2017年に発見されたリモートアクセス型トロイの木馬（RAT）です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。

3.↑ Hiddad - HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。

世界的に最も攻撃されている業種、業界
4月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「保健医療」でした。
1. 教育・研究
2. 政府・軍関係
3. 保健医療

最も活発なランサムウェアグループ
このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいています。
4月、最も活発だったランサムウェアグループはLockbit3で、リークサイトで公表された攻撃のうち9%を首謀していました。続く2位はPlayで全体の7%、3位は8Baseで6%を占めています。

1. Lockbit3 - LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告されました。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていません。2024年2月に法執行機関の摘発を受けたにも関わらず、 Lockbit3は現在も被害者に関する情報の公開を続けています。

2. Play - Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループです。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしています。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスします。ひとたび内部に侵入すると、LOLBin（環境寄生バイナリ）の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行します。

3. 8Base - 8Baseは、遅くとも2022年3月から活動が確認されているランサムウェア集団です。2023年半ばに著しく活動を活発化させ、大きく知名度を上げました。このグループではランサムウェアのさまざまな亜種の使用が確認されていますが、すべてに共通する要素はPhobosランサムウェアです。ランサムウェアに高度な技術を用いていることから明らかなように、8Baseの活動は洗練されており、二重恐喝の手法も駆使します。

4月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。チェック・ポイント・ソフトウェア・テクノロジーズは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinityPlatformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。 ;

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X（旧Twitter）: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp