チェック・ポイント・リサーチ、2024年11月に最も活発だったマルウェアを発表　国内・グローバルともにIoTデバイスや重要インフラを狙うAndroxgh0stが首位

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年12月19日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
Moziボットネットの機能を統合したAndroxgh0stが国内・グローバルともにランキングトップに

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年11月の最新版Global Threat Index（世界脅威インデックス）を発表しました。本レポートは、サイバー犯罪者の手口が日々巧妙化している点に警鐘を鳴らしています。中でも、Androxgh0stという新種の攻撃ツールが、Moziボットネットと組み合わさることで攻撃力を増し、世界中の重要インフラに対する脅威となっていることが浮き彫りになっています。

重要インフラは、電力供給施設、交通システム、医療ネットワークなど多岐にわたりますが、日常生活に不可欠な役割を担う一方で脆弱性を抱えているため、サイバー犯罪者の格好の標的となっています。これらのシステムが麻痺すると、社会全体の混乱や経済的損失を引き起こすだけでなく、公共の安全までもが脅かされる可能性があります。

リサーチャーたちの調査により、現在マルウェアランキングの首位に立つAndroxgh0stが、IoTデバイスややWebサーバなど、重要インフラの基幹となる部分を含む、複数のプラットフォームの脆弱性を悪用していることが判明しました。Androxgh0stはMoziの戦術を採用することで、リモートコード実行と認証情報の窃取によりシステムへの持続的なアクセスを維持し、DDoS攻撃やデータ窃取といった悪意のある活動を可能にしています。パッチ未適用の脆弱性を利用して重要インフラに侵入するこのマルウェアは、Moziの機能を取り込んだことで攻撃能力を著しく向上させました。その結果、より多くのIoTデバイスに感染し、さらに広範な標的を制御できるようになり、Androxgh0stの脅威は急速に拡大しています。これらの攻撃は、産業界全体に連鎖的な影響を及ぼしており、こうしたインフラに依存する政府、企業、個人にとって深刻なリスクとなっています。

モバイルマルウェアのランキングでは、Jokerが最も広く蔓延しており、AnubisとNecroが後に続いています。JokerはSMSメッセージや連絡先、デバイス情報を窃取するとともに、被害者に気づかれることなく有料サービスに勝手に登録します。一方、バンキング型トロイの木馬であるAnubisは、リモートアクセス、キーログ、さらにはランサムウェアとしても機能するようになっています。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ（Maya Horowitz）は、日々変化するサイバー攻撃の現状について、次のようにコメントしています。
「Androxgh0stの台頭とMoziとの統合は、サイバー犯罪者たちが常に新しい攻撃手法を開発していることを示しています。組織は迅速に適応し、これらの高度な脅威が重大な被害を引き起こす前に特定し、無力化できる強固なセキュリティ対策を実施する必要があります」

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

10月に続きAndroxgh0stが国内企業の3.20%に影響を与え、1位でした。

1. ↔ Androxgh0st（3.20%）- Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

2. ↔ BMANAGER（1.60%）- BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬です。少なくとも2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含む、されたマルウェア配信システムの使用へと進化しています。このマルウェアは、ステルス的なデータ流出とキーロギングを目的として設計されたさまざまなコンポーネントを含むスイートの一部です。BMANAGERは、主にウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出します。

2. ↑ FakeUpdates（1.60%）- FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↑ AgentTesla（1.60%）- AgentTeslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のデバイスにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

2. ↑ Remcos（1.60%）- Remcosは2016年に初めて出現したリモートアクセス型トロイの木馬（RAT）で、スパムメールに添付された悪意のあるMicrosoft Officeドキュメントを通じて展開します。WindowsのUACセキュリティを回避し、管理者権限でマルウェアを実行するように設計されています。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

11月に最も流行したマルウェアはAndroxgh0stで、全世界の組織の5%に影響を及ぼしました。続く FakeUpdates も世界的な影響は5%、AgentTeslaは3%でした。

1. ↑ Androxgh0st - Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

1. ↔ FakeUpdates - FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↑ AgentTesla - AgentTeslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のデバイスにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

悪用された脆弱性のトップ

1. ↑ HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）- HTTPへのコマンドインジェクションの脆弱性が報告されています。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用します。これに成功すると、攻撃者は標的のデバイス上で任意のコードを実行できるようになります。

2. ↑ Webサーバー公開型Git リポジトリの情報漏えい - Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。

3. ↑ ZMapセキュリティスキャナー（CVE-2024-3378）- ZMapは脆弱性をスキャンするソフトウェアです。攻撃者は遠隔でZMapを使用して、ターゲットのサーバーの脆弱性を検出することが可能です。

モバイルマルウェアのトップ

11月に最も流行したモバイルマルウェアのランキングでは、引き続きJokerが1位で、2位にAnubisが浮上し、先月2位だったNecroは3位に順位を落としました。

1. ↔ Joker - JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されています。さらにこのマルウェアは、被害者に認識されることなく有料のプレミアムサービスに登録することも可能です。

2. ↑ Anubis - AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

3. ↓ Necro - NecroはAndroid向けのトロイの木馬型ドロッパーで、他のマルウェアをダウンロードしたり、迷惑広告を表示したり、有料のサブスクリプションサービスの料金を請求して金銭を盗んだりします。

世界的に最も攻撃されている業種、業界
11月、世界的に最も攻撃されている業界は、引き続き「教育・研究」分野でした。2位は「通信」、3位は「政府・軍関係」でした。

1. 教育・研究
2. 通信
3. 政府・軍関係

最も活発なランサムウェアグループ

このセクションのデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいています。11月に最も活発だったランサムウェアグループは引き続きRansomHubで、リークサイトで公表された攻撃のうち16%に関与していました。AkiraとKillsec3 はいずれも全体の6%を占めました。

1. RansomHub - RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）です。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げました。このマルウェアは、高度な暗号化手法を用いることで知られています。

2. Akira - 2023年初頭に初めて報告されたAkiraランサムウェアは、WindowsとLinux両方のシステムを標的としています。Akiraはファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似しています。Akiraは、感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布されます。感染するとデータの暗号化が始まり、ファイル名に「.akira」という拡張子が追加され、復号化のための支払いを要求する身代金メモが提示されます。

2. KillSec3 - KillSec3は2023年10月に出現したロシア語圏のサイバー脅威グループです。RaaS（サービスとしてのランサムウェア）プラットフォームを運営しており、さまざまな攻撃的なサイバー犯罪サービスも提供しています。その中にはDDoS攻撃や「ぺネストレーションテスト（侵入テスト）サービス」と称する不正サービスも含まれています。被害者リストを分析してみると、同様のグループと比較して、インドの被害者が極端に多く、アメリカの被害者の割合が非常に少ないことが分かります。主な攻撃対象は医療機関や政府機関となっています。

本プレスリリースは、米国時間2024年12月10日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp