チェック・ポイント・リサーチ、2025年5月に最も活発だったマルウェアを発表　新興ランサムウェアグループ「SafePay」の脅威が急速に拡大

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2025年06月25日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
SafePayが急激に勢力を拡大する一方で、FakeUpdatesが引き続き世界中で猛威を振るう

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ： CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2025年5月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

比較的新しいランサムウェアグループであるSafePayが急速に勢力を拡大し、5月、二重恐喝の手口を用いる最も活発なグループとしてトップに躍り出ました。一方FakeUpdatesは依然として最も広範囲に拡散するマルウェアとして世界中の組織に影響を与え続けています。教育分野は引き続き最も標的にされやすい業界となっており、教育機関全体の脆弱性が続いていることを反映しています。

2025年5月、ユーロポール、FBI、Microsoft等が連携し、マルウェア・アズ・ア・サービス（MaaS）プラットフォームの「Lumma」への大規模な摘発作戦を実施しました。この作戦により数千のドメインが押収され、Lummaの運営に深刻な支障をきたしました。しかし、ロシアに拠点を置くLummaの中核サーバーは稼働を続けていたとされ、Lummaの開発者たちは速やかにインフラを復旧させたと主張しています。それでも、この作戦はフィッシング等の心理的戦術でユーザーに不信感を抱せ、Lummaの信頼性に打撃を与えました。技術的な混乱は大きかったものの、Lumma関連のデータは依然として流通しており、長期的な効果については懸念が残ります。

チェック・ポイントの脅威インテリジェンス担当ディレクターであるロテム・フィンケルシュタイン（Lotem Finkelstein）は、次のように述べています。
「5月の世界脅威インデックスのデータは、サイバー犯罪の手口が急速に巧妙化している実態を浮き彫りにしています。SafePayのような新興グループの台頭や、FakeUpdatesの継続的な脅威を踏まえると、組織はプロアクティブかつ多層的なセキュリティ対策を導入する必要があります。サイバー脅威が高度化する中、リアルタイムの脅威インテリジェンスと強固な防御によって、進化し続ける攻撃の一歩先を行くことが極めて重要です」

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

5月に最も流行したマルウェアはFakeUpdatesで、影響値は3.26%でした。続く2位のAndroxgh0stは2.51%、Remcosは2.01%に影響を与えました。
- ↑ FakeUpdates （3.26%）- FakeUpdates（別名SocGholish）は、2018年に初めて発見されたダウンローダー型マルウェアです。感染したウェブサイトや悪意あるウェブサイトのドライブバイダウンロードによって拡散され、ユーザーに偽のブラウザアップデートをインストールするよう促します。FakeUpdatesはロシアのハッキンググループEvil Corpと関連していると見られ、感染後のペイロード配信に使用されます。

- ↔ Androxgh0st（2.51%）- Androxgh0stはパイソンベースのマルウェアで、AWS、Twilio、Office 365、SendGridなどのサービスに関するログイン認証情報など、機密情報を含む公開された.envファイルをスキャンすることで、Laravel PHPフレームワークを使用するアプリケーションを標的とします。ボットネットを利用してLaravelを実行しているウェブサイトを特定し、機密データを抽出することで動作します。アクセス権を獲得すると、攻撃者は追加のマルウェアの展開、バックドア接続の確立、暗号通貨マイニングなどの活動のためのクラウドリソースの悪用が可能になります。

- ↓ Remcos（2.01%）- Remcosは、2016年に初めて観測されたリモートアクセス型トロイの木馬（RAT）で、多くの場合、フィッシングキャンペーンの悪意あるドキュメントを通じて配信されます。UACなどのWindowsのセキュリティ機構を回避し、上位の権限によってマルウェアを実行するため、脅威アクターにとっての万能ツールとなっています。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

5月に最も流行したマルウェアは前月に続きFakeUpdatesで、全世界の組織の5%に影響を及ぼしました。続く2位のRemcosと3位のAndroxgh0stの影響値はそれぞれ3%でした。
- ↔ FakeUpdates - FakeUpdates（別名SocGholish）は、2018年に初めて発見されたダウンローダー型マルウェアです。感染したウェブサイトや悪意あるウェブサイトのドライブバイダウンロードによって拡散され、ユーザーに偽のブラウザアップデートをインストールするよう促します。FakeUpdatesはロシアのハッキンググループEvil Corpと関連していると見られ、感染後のペイロード配信に使用されます。

- ↔ Remcos - Remcosは、2016年に初めて観測されたリモートアクセス型トロイの木馬（RAT）で、多くの場合、フィッシングキャンペーンの悪意あるドキュメントを通じて配信されます。UACなどのWindowsのセキュリティ機構を回避し、上位の権限によってマルウェアを実行するため、脅威アクターにとっての万能ツールとなっています。

- ↑ Androxgh0st - Androxgh0stはパイソンベースのマルウェアで、AWS、Twilio、Office 365、SendGridなどのサービスに関するログイン認証情報など、機密情報を含む公開された.envファイルをスキャンすることで、Laravel PHPフレームワークを使用するアプリケーションを標的とします。ボットネットを利用してLaravelを実行しているウェブサイトを特定し、機密データを抽出することで動作します。アクセス権を獲得すると、攻撃者は追加のマルウェアの展開、バックドア接続の確立、暗号通貨マイニングなどの活動のためのクラウドリソースの悪用が可能になります。

最も活発なランサムウェアグループ
二重脅迫を行うランサムウェアグループが運営するリークサイト（Shame Sites）のデータによると、5月に最も活発だったランサムウェアグループはSafePayで、企業の大小を問わず攻撃対象としています。攻撃の手法は日々進化しており、グループ間での競争も激化しています。
- SafePay - SafePayは、2024年11月に初めて観測されたランサムウェアグループで、ロシアに帰属している可能性を示唆する指標が確認されています。このグループは、被害者のファイルを暗号化すると同時に機密データを流出させ、身代金支払いのプレッシャーを高めるという、二重恐喝モデルの活動を展開しています。SafePayは、RaaS（サービスとしてのランサムウェア）としては運営されていないにも関わらず、異常に数多くの被害者をリストアップしています。その中央集権的かつ内部主導的な構造は、一貫したTTP（戦術・技術・手順）と集中的なターゲット設定につながっています。
- Qilin - Agendaとしても知られているQilinは、RaaS（サービスとしてのランサムウェア）の犯罪組織で、関連組織と協力し、侵害された組織のデータを暗号化して流出させ、その後身代金を要求します。このランサムウェア亜種はGolangで開発され、2022年7月に初めて発見されました。Agendaは、特に医療業界や教育・研究分野を中心に、大企業や高価値組織を標的にすることで知られています。Qilinは通常、悪意あるリンクを含むフィッシングメールを介して被害者のネットワークに侵入し、アクセスを確立して機密情報を流出させます。いったん侵入すると被害者のインフラ内を横方向に移動し、暗号化すべき重要なデータを探します。

- Play - Playランサムウェア、別名PlayCryptは、2022年6月に初めて出現したランサムウェアグループです。このランサムウェアは、北米、南米、ヨーロッパ地域の広範な企業や重要インフラをターゲットにしており、2023年10月までにおよそ300もの事業体に影響を及ぼしています。Playランサムウェアは通常、侵害した有効なアカウントを介し、あるいはFortinet SSL VPNなどのパッチ未適用の脆弱性を悪用して、ネットワークにアクセスします。ひとたび内部に侵入すると、LOLBin（環境寄生バイナリ）の使用などのテクニックを用いて、データ流出や認証情報の窃取を実行します。

モバイルマルウェアのトップ
5月に最も流行したモバイルマルウェアはAnubisで、AhMythとNecroがそれに続いています。
- ↔ Anubis - AnubisはAndroidデバイスを起源とする多用途のバンキング型トロイの木馬です。SMSベースのワンタイムパスワード（OTP）の傍受による多要素認証（MFA）のバイパスや、キーロギング、音声録音、ランサムウェア機能など、高度な機能を持つよう進化しています。Google Playストアの悪意あるアプリを通じて配信されることが多く、最も流行しているモバイルマルウェアファミリーのひとつです。さらにAnubisはRAT（リモートアクセス型トロイの木馬）機能を備えており、感染したシステムを広範囲にわたって監視・制御できます。

- ↔ AhMyth - AhMythはAndroidデバイスを標的とするRAT（リモートアクセス型トロイの木馬）で、スクリーンレコーダーやゲーム、暗号通貨ツールなど正規のアプリに偽装されています。インストールされると再起動後も持続し、銀行の認証情報や暗号通貨ウォレットの詳細、他要素認証（MFA）コードやパスワードなどの機密情報の流出を目的として広範な権限を取得します。また、キーロギング、スクリーンショットの取得、カメラやマイクへのアクセス、SMSの傍受を可能にし、データ窃取やその他の悪意ある活動のための万能ツールとなります。

- ↑ Necro - Necroは、感染したデバイス上で作成者からのコマンドに基づいて有害なコンポーネントを取得・実行する、悪質なAndroidダウンローダーです。Google Playの人気アプリや、Spotify、WhatsApp、Minecraftなどの非公式プラットフォーム上のアプリの修正版で発見されています。Necroはスマートフォンに危険なモジュールをダウンロードさせることができ、視認できない広告の表示やクリック、実行可能ファイルのダウンロード、サードパーティ製アプリのインストールなどの動作を可能にします。また、隠しウィンドウを開いてJavaScriptを実行し、ユーザーを不要な有料サービスに加入させる可能性もあります。さらに、侵害されたデバイスを経由してインターネットトラフィックを迂回させ、サイバー犯罪者のプロキシボットネットの一部にすることもできます。

世界的に最も攻撃されている業種および業界
2025年5月、世界的に最も攻撃されている業界は、引き続き「教育・研究」でした。2位は「政府・軍関係」、3位は「通信」でした。これらの業界は、重要なインフラと大規模なユーザー基盤を持つことから、幅広いサイバー攻撃にさらされやすく、格好の標的となり続けています。

1. 教育・研究
2. 政府・軍関係
3. 通信

国ごとの脅威インデックス
下の地図は、世界のリスク指数（濃い赤色ほどリスクが高い）を示したもので、主な高リスク地域が把握できます。

世界的に教育分野が引き続き最大の標的となっている一方、地域別の分析により詳細な実態が明らかになっています。中南米と東欧では、特にFakeUpdatesとPhorpiexによる感染が活動増加の要因となっており、コモディティマルウェアが依然として蔓延していることが浮き彫りになっています。アジアでは、ネパールやベトナムなどの国々でRemcosとAgentTeslaの活動が活発化し、機密情報を狙ったフィッシング攻撃への依存が続いています。西欧では、より多様なマルウェアが確認され、スペインやフランスではLumma StealerとRaspberry Robinの感染が急増しています。

これらの地域的な違いは、各地域の状況に適した防御戦略と脅威情報の活用が重要であることを示しています。フィッシングやエクスプロイトキットなど、各地域特有の脆弱性や攻撃手法を踏まえた防御対策の構築が求められます。

チェック・ポイントの世界脅威インデックスおよびThreatCloud Mapは、Check Point Threat Cloud AIインテリジェンスに基づいています。ThreatCloudは、ネットワーク、エンドポイント、モバイルなど、世界中の何億ものセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AI-basedのエンジンとCPRが提供する独自の研究データによって強化されています。

結論
5月のデータは、高度で多段階的なマルウェアキャンペーンが継続的に増加していることを示しており、SafePayが主要なランサムウェア脅威として浮上しています。FakeUpdatesが最も広範囲に拡散するマルウェアとしての地位を維持する中、SafePayのような新たな脅威アクターの台頭や、情報窃取型マルウェアのLummaに対する継続的な摘発作戦は、サイバー攻撃の複雑化が進んでいることを物語っています。教育機関への攻撃が特に多い現状を踏まえると、あらゆる組織において、より積極的かつ多層的な防御体制の構築が急務となっています。

5月の最新版Global Threat Index（世界脅威インデックス）の全文と詳しい解説は、チェック・ポイントのブログをご覧ください。

本プレスリリースは、米国時間2025年6月9日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp