チェック・ポイント・リサーチ、2024年9月に最も活発だったマルウェアを発表　RansomHubが猛威を振るい続ける一方、AIを活用したマルウェアが増加中

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年10月21日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
最新の脅威インデックスにより、サイバー攻撃の手法がAIを活用したマルウェアへとシフトしていることが明らかに

AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、 NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年9月の最新版Global Threat Index（世界脅威インデックス）を発表しました。本レポートは、サイバーセキュリティの現状における注目すべきトレンドをまとめています。特に、人工知能（AI）を活用した新たなマルウェアの出現と、依然として猛威を振るうランサムウェアの脅威に焦点を当てています。

9月、最も蔓延しているマルウェアのトップ10にランクインしているAsyncRATマルウェアの配信スクリプトが、脅威アクターによってAIを使用して開発された可能性が高いことをリサーチャーたちが発見しました。悪意のあるVBScriptコードを含むパスワードで保護されたzipファイルが送信され、被害者のデバイスで感染の連鎖が開始されるという、HTMLスマグリングという手法が用いられました。このコードはきちんと構造化され、コメントが加えられていたことから、AIの関与が示唆されています。コードが完全に実行されると、AsyncRATがインストールされ、攻撃者がキーストロークの記録や感染デバイスの遠隔操作を行うことが可能になり、さらに別のマルウェアを展開できるようになります。この発見は、技術力の低いサイバー犯罪者でも、AIを使えば容易にマルウェアを作成することができるという、懸念すべき傾向を示しています。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、この傾向について次のように述べています。
「脅威アクターが生成AIを攻撃インフラの一部として利用し始めたという事実は、サイバー攻撃戦術が絶えず進化していることを浮き彫りにしています。サイバー犯罪者は、活動を強化するために利用可能なテクノロジーを積極的に活用しており、高度な脅威予防策やチームへの包括的なトレーニングといったプロアクティブなセキュリティ戦略を導入することが、組織にとって不可欠となっています」

9月も、Jokerが最も流行しているモバイルマルウェアの座を維持し、RansomHubは引き続き主要なランサムウェアのランキングで首位に立っています。両者とも、先月からその地位を保っています。この結果は、進化し続けるサイバーセキュリティ環境において、これらの悪意ある存在が持続的な脅威であることを示しています。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

今年4月から7月まで国内でトップを維持していたAndroxgh0stが、国内企業の4.07%に影響を与え、首位に返り咲きました。2位と3位は僅差ですが、先月1位だったFakeUpdatesは3位に順位を下げ、Snatchが2.71%で2位に浮上しました。

- ↑ Androxgh0st（4.07%） - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

2.↑ Snatch （2.71%）- Snatchは2018年に初めて活動が確認されたRaaS (サービスとしてのランサムウェア)グループおよびマルウェアで、脅迫を目的とした被害者のデータの窃取と暗号化を行い、二重脅迫戦術を駆使します。

3.↓ FakeUpdates（2.44%）- FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

9月に最も流行したマルウェアはFakeUpdatesで、全世界の組織の7%に影響を及ぼしました。2位はAndroxgh0stで世界的な影響は6%、3位はFormBookで世界的な影響は4%でした。

1. ↔ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↔ Androxgh0st - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

3. ↑ FormBook - FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service（MaaS）」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C＆C（コマンド＆コントロール）サーバーの命令に従ってファイルをダウンロードし、実行します。

悪用された脆弱性のトップ
1. ↔ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）- HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになります。

2.↑ Webサーバーへの悪意あるURLによるディレクトリトラバーサル（CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、 CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260） - 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性が悪用されると、認証されていないリモートの攻撃者による、脆弱性のあるサーバー上の任意のファイルへのアクセスや、情報の漏えいが可能になります。

3. ↔ HTTPヘッダーのリモートコード実行（CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756） - HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストで追加情報を受け渡すための役割を持っています。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。

モバイルマルウェアのトップ
9月に最も流行したモバイルマルウェアのランキングでは、引き続きJokerが1位で、2位はAnubis、3位はHiddadでした。
- ↔ Joker - JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能です。

- ↔ Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

- ↑ Hiddad - HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。

世界的に最も攻撃されている業種、業界

9月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「政府・軍関係」、3位は「保健医療」でした。

1. 教育・研究
2. 政府・軍関係
3. 保健医療

最も活発なランサムウェアグループ

このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいています。9月に最も活発だったランサムウェアグループは、引き続き RansomHubで、リークサイトで公表された攻撃のうち17%に関与していました。続く2位はPlayで全体の10% を占め、3位のQilinは5%を占めていました。
- RansomHub - RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）です。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げました。このマルウェアは、高度な暗号化手法を用いることで知られています。

- Play - Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループです。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までに300もの事業体に影響を及ぼしています。Playランサムウェアは通常、侵害した有効なアカウントを介して、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用し、ネットワークにアクセスします。ひとたび内部に侵入すると、LOLBin（環境寄生バイナリ）の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行します。

- Qilin - Agendaとしても知られるQilinは、RaaS（サービスとしてのランサムウェア）の犯罪組織で、関連組織と協力して侵害された組織からデータを暗号化して盗み出し、その後、身代金を要求します。このランサムウェアの亜種はGolangというプログラミング言語で開発されたもので、2022年7月に初めて発見されました。Agendaは、大企業や価値の高い組織をターゲットにする傾向があり、特に医療や教育分野に重点を置いています。Qilinは通常、悪意のあるリンクを含むフィッシングメールを介して被害者のネットワークに侵入し、機密情報を盗み出します。ひとたび侵入すると、Qilinは被害者のインフラ内で水平展開し、暗号化すべき重要なデータを探し出します。

本プレスリリースは、米国時間2024年10月11日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp