チェック・ポイント・リサーチ、2024年8月に最も活発だったマルウェアを発表　国内・グローバルともにFakeUpdatesが再び首位に、 “新たなランサムウェア”も台頭

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年09月24日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
過去数ヶ月にわたり最も活発なマルウェアとして上位にランクインしているFakeUpdatesが国内・グローバルともに再び首位に。また、新たな手口と強い影響力を持つMeowランサムウェアが台頭

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年8月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

8月のインデックスでは、ランサムウェアが依然として強い勢力を保っており、RansomHubが引き続きトップの座を維持していることが明らかになりました。RaaS（サービスとしてのランサムウェア）であるRansomHubは、その名称をKnightから変更して以来、急速に拡大を続け、世界中で210件を超える被害を出しています。一方、新たに登場したMeowランサムウェアは、その手口を暗号化からデータ流出市場での盗難データの販売へとシフトさせています。

FBI、CISA、MS-ISAC、HHSの共同勧告にも記述されているように、8月、RansomHubはランサムウェア脅威のトップとしての地位を確固たるものにしました。このRaaSは、Windows、macOS、Linux、そして特にVMware ESXi環境のシステムを、高度な暗号化技術を駆使して積極的に標的にしています。また、8月にはMeowランサムウェアが台頭し、ランサムウェアのランキングで初めて2位にランクインしました。流出したContiランサムウェアの亜種として誕生したMeowは、暗号化からデータ抽出へと焦点を移し、恐喝サイトをデータ流出市場へと変貌させました。このモデルでは、盗まれたデータは最高額入札者に売却され、従来のランサムウェアの恐喝の手口とは大きく異なります。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、次のように述べています。「RansomHubが8月にランサムウェアの脅威のトップに浮上したことは、RaaSオペレーションがますます高度化していることを裏付けています。組織はこれまで以上に警戒する必要があります。また、Meowランサムウェアの台頭は、データ流出市場へのシフトを浮き彫りにしています。これは、ランサムウェア攻撃者による新たな収益モデルを示唆しており、盗まれたデータが単にオンラインで公開されるのではなく、第三者に販売されるケースが増えていることを表しています。こうした脅威の進化に伴い、企業は常に警戒を怠らず、プロアクティブなセキュリティ対策を採用し、巧妙化する攻撃への防御を継続的に強化する必要があります」

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

2024年に入ってからグローバルランキングでトップを維持し続けているFakeUpdates が、国内企業の3.67%に影響を与え、約半年ぶりに首位になりました。国内でここ数ヶ月トップだったAndroxgh0stは2位に順位を下げ、また、Snatchが2.10%で3位に浮上しました。
- ↑ FakeUpdates（3.67%）- FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。
- ↑Androxgh0st（2.89%） - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。
- ↑ Snatch （2.10%）- Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使します。

グローバルで活発な上位のマルウェアファミリー　　　
*矢印は、前月と比較した順位の変動を示しています。

8月に最も流行したマルウェアはFakeUpdatesで、全世界の組織の8%に影響を及ぼしました。2位は Androxgh0stで世界的な影響は5%、3位はPhorpiexで世界的な影響は5%でした。
- ↔ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。
- ↔ Androxgh0st - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。
- ↑ Phorpiex - Phorpiexは、スパムキャンペーンを通じて他のマルウェアファミリーを配布したり、大規模なセクストーションキャンペーンを引き起こしたりすることで知られるボットネットです。

悪用された脆弱性のトップ
- ↔ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）- HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。
- ↔ Zyxel ZyWALLへのコマンドインジェクション（CVE-2023-28771）- Zyxel ZyWALLにはコマンドインジェクションの脆弱性が存在しています。この脆弱性が悪用されると、リモートの攻撃者は影響を受けたシステム上で任意のOSコマンドを実行できるようになります。
- ↔ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756）- HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ
8月に最も流行したモバイルマルウェアのランキングでは、引き続きJokerが1位で、2位はAnubis、3位はHydraでした。
- ↔ Joker - JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能です。
- ↔ Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
- ↑ Hydra　- Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬です。

世界的に最も攻撃されている業種、業界
8月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「保健医療」でした。
- 教育・研究
- 政府・軍関係
- 保健医療

最も活発なランサムウェアグループ
このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいています。8月に最も活発だったランサムウェアグループはRansomHubで、リークサイトで公表された攻撃のうち15%に関与していました。続く2位は Meowで全体の9%を占め、3位のLockbit3は8%を占めていました。
- RansomHub - RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）です。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げました。このマルウェアは、高度な暗号化手法を用いることで知られています。
- Meow - MeowランサムウェアはContiランサムウェアをベースとした亜種で、感染したシステム上の様々なファイルを暗号化し、それらに拡張子「.MEOW」を付加することで知られています。「readme.txt」というファイル名のランサムノート（身代金を要求する文書）を残し、被害者に対して電子メールまたはテレグラムを通じて攻撃者に連絡を取り、身代金の交渉をするよう指示します。Meowランサムウェアは、保護されていないRDP設定、電子メールスパム、悪意あるダウンロードなど様々な攻撃ベクトルを通じて拡散し、ChaCha20暗号化アルゴリズムを使用して「.exe」ファイルとテキストファイルを除く各種ファイルをロックします。
- Lockbit3 - LockBit3はRaaSモデルで活動するランサムウェアグループで、2019年9月に初めて報告されました。LockBit3は様々な国の大企業や政府機関をターゲットにしていますが、ロシアおよび独立国家共同体（CIS）を標的にした活動は確認されていません。

8月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログでご覧いただけます。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp