1. HOME
  2. ブログ
  3. 10月に最も活発なマルウェアはTrickbot、5回目のランクイン

10月に最も活発なマルウェアはTrickbot、5回目のランクイン

Trickbotが最も活動的なマルウェアであり、Apacheの新たな脆弱性が世界中で最も悪用されている脆弱性の一つとして急上昇、ハッカーに最も狙われたのは教育と研究分野だったことも明らかに

包括的なサイバーセキュリティプラットフォーマーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント、https://www.checkpoint.co.jp/)の脅威インテリジェンス調査部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2021年10月版のレポート「Global Threat Index(グローバル脅威インデックス)」を公開しました。モジュール式のボットネットとバンキング型トロイの木馬であるTrickbotが依然として最も活発なマルウェアのトップを維持し、世界中の組織や企業の4%に影響を及ぼしたことがわかりました。また、Apache HTTP Server Directory Traversalがエクスプロイトされた脆弱性のトップ10にランクインしました。さらに、教育・研究分野が最も攻撃を受けた業界でした。

Trickbotは、詳細な財務情報、口座情報、個人特定が可能な情報を盗み出し、ネットワーク内で水平方向に攻撃を拡大してランサムウェアをドロップするマルウェアです。1月にEmotetを撃退(https://blog.checkpoint.com/2021/01/28/collaborative-global-effort-disrupts-emotet-worlds-most-dangerous-malware/)して以降、最も普及するマルウェアとしての地位を5回連続で維持しています。常に新機能やフィーチャー、配信ベクトルで更新することにより、多目的なキャンペーンの一環として配信可能な柔軟でカスタマイズ可能なマルウェアになっています。

一方、新たな脆弱性としてApache HTTP Server Directory Traversalが、最もエクスプロイトされた脆弱性のトップ10リストで第10位にランクインしました。初めて検出された際に、Apacheの開発者がApache HTTP Server 2.4.50でCVE-2021-41773のフィックスをリリースしましたが、このパッチでは不十分なことがわかり、Apache HTTP Serverではディレクトリトラバーサルの脆弱性がまだ解消されていません。この脆弱性を悪用してエクスプロイトすることで、攻撃者は標的となったシステム上の任意のファイルにアクセスできるようになります。

チェック・ポイントのリサーチ担当VPを務めるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。「Apacheの脆弱性が注目されるようになったのは10月の初めでしたが、すでに世界中で最もエクスプロイトされている脆弱性のトップ10にランクインしています。これは攻撃スピードの速さを物語っています。この脆弱性によって脅威アクターはパストラバーサル攻撃を仕掛け、予想されるドキュメントのroot外のファイルにURLをマッピングします。Apacheユーザは適切な防御策を講じる必要があります。今月もTrickbotが最も普及しているマルウェアになりました。Trickbotはランサムウェアのドロップに使われることが多いマルウェアです。世界的にみると毎週61社のうち1社がランサムウェア攻撃に遭っています。これは驚愕すべき数字で、企業はより強力な対策を講じる必要があります。多くの攻撃がシンプルなEメールから始まるため、潜在的な脅威の識別方法について従業員を教育することも企業にとっては重要な防御策の1つです。」 

チェック・ポイント・リサーチによると、今月は教育・研究分野が世界中で最も攻撃を受けた業界でした。通信、行政・軍事関連がこれに続いています。Web Servers Malicious URL Directory Traversalが最もエクスプロイトされた脆弱性で、世界中の企業の60%に影響を及ぼしています。次がWeb Server Exposed Git Repository Information Disclosureで、世界中の企業の55%が影響を受けています。HTTP Headers Remote Code Executionは、最もエクスプロイトされた脆弱性リストの第3位を維持し、世界中の企業の54%に影響を及ぼしています。

10月のマルウェアファミリー上位3種: *矢印は前の月と比較したランキングの変化を示しています。
今月はTrickbotが最も人気の高いマルウェアで、世界中の企業の4%に影響を及ぼしています。続いてXMRig(3%)、Remcos(2%)というランキングです。

1. ↔ Trickbot – Trickbotはモジュール型のボットネットとバンキング型トロイの木馬で、新たな機能や配信ベクターを追加して常に更新されています。これにより、柔軟でカスタマイズ可能なマルウェアになり、多目的のキャンペーンの一環として配信できるようになります。
2. ↑ XMRig – XMRigはオープンソースのCPUマイニング・ソフトウェアで、Moneroという暗号通貨のマイニング・プロセスに使用されています。最初に発見されたのは2017年5月でした。
3. ↑ Remcos – Remcosは2016年に初めて出回ったRATです。RemcosはSPAMメールに添付された悪意のあるicrosoft Office文書によって配信されます。Microsoft Windows UACセキュリティを迂回し、高度な権限でマルウェアを実行するように設計されています。

世界中で最も攻撃されている業界:
今月は教育・研究分野が世界中で最も攻撃を受けた業界です。通信、行政・軍事関連がこれに続いています。

1. 教育・研究
2. 通信
3. 行政・軍事関連

最もエクスプロイトされた脆弱性
Web Servers Malicious URL Directory Traversalが最もエクスプロイトされた脆弱性で、世界中の企業の60%に影響を及ぼしています。次がWeb Server Exposed Git Repository Information Disclosureで、世界中の企業の55%が影響を受けています。HTTP Headers Remote Code Executionは最もエクスプロイトされた脆弱性リストの第3位を維持し、世界中の企業の54%に影響を及ぼしています。

1. ↑ Web Servers Malicious URL Directory Traversal(CVE-2010-4598、CVE-2011-2474、CVE-2014-0130、CVE-2014-0780、CVE-2015-0666、CVE-2015-4068、CVE-2015-7254、CVE-2016-4523、CVE-2016-8530、CVE-2017-11512、CVE-2018-3948、CVE-2018-3949、CVE-2019-18952、CVE-2020-5410、CVE-2020-8260) – 異なるWebサーバにディレクトリトラバーサルの脆弱性が存在しています。この脆弱性はWebサーバでの入力検証エラーによるもので、ディレクトリトラバーサルパターンに対してURLを正しくサニタイズしません。エクスプロイトが成功すると、正当な権限のないリモート攻撃者によって、脆弱なサーバの任意のファイルがアクセス、公開されてしまいます。
2. ↓ Web Server Exposed Git Repository Information Disclosure – Git Repositoryでの情報開示の脆弱性が報告されています。この脆弱性のエクスプロイトが成功した場合、アカウント情報が意図せず開示されてしまう可能性があります。
3. ↔ HTTP Headers Remote Code Execution(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) – HTTPヘッダーを使って、HTTPリクエストでクライアントとサーバに追加の情報を提供させます。これにより、リモート攻撃者は脆弱なHTTPヘッダーを使用して被害者のマシン上で任意のコードを実行できるようになります。

トップモバイルマルウェア
今月はxHelperが最も普及しているモバイルマルウェアのトップを維持しました。続いてAlienBotとXLoaderがランクインしています。

1. xHelper – 悪意のあるアプリケーションとして2019年3月に発見されました。悪意のある他のアプリケーションのダウンロードや広告表示に使用されています。このアプリケーションはユーザの目には触れないようにして、アンインストールされると自ら再インストールまですることができます。
2. AlienBot – AlienBotマルウェアファミリーはAndroidデバイス向けのMalware-as-a-Service(MaaS)で、リモート攻撃者は最初に悪意のあるコードを正当な財務アプリケーションに挿入します。次に攻撃者は被害者のアカウントに不正にアクセスし、最終的にはデバイスを完全に乗っ取ります。
3. XLoader – XLoaderはAndroid向けのスパイウェア/バンキング向けのトロイの木馬で、中国のハッカーグループ、Yanbian Gangが開発したものです。このマルウェアはDNSスプーフィングを使用し、感染したAndroidアプリによって個人情報や財務情報を収集します。

チェック・ポイントのGlobal Threat Impact Index(グローバル脅威インパクトインデックス)とThreatCloud Mapは、チェック・ポイントのThreatCloudインテリジェンスに基づいています。ThreatCloudは世界中に設置された数十億のセンサーから得たネットワーク、エンドポイント、モバイルに関するリアルタイム脅威インテリジェンスを提供しています。このインテリジェンスをAIベースのエンジンや、チェック・ポイントのインテリジェンス&研究部門であるチェック・ポイント・リサーチの優れた研究データによってさらに拡充しています。

10月のマルウェアの上位10種の詳細リストは、チェック・ポイントのブログ(英語、https://blog.checkpoint.com/2021/11/11/october-2021s-most-wanted-malware-trickbot-takes-top-spot-for-fifth-time/)で確認できます。

※ 本リリースは、米国カリフォルニア州で2021年11月11日(現地時間)に配信されたものの抄訳です。英語のリリース全文はこちら(https://www.checkpoint.com/press/2021/october-2021s-most-wanted-malware-trickbot-takes-top-spot-for-fifth-time/)をご確認ください。

チェック・ポイントの調査結果をフォロー
ブログ・・・https://research.checkpoint.com/
ツイッター・・・https://twitter.com/_cpresearch_

Check Point Researchについて
Check Point Researchは、チェック・ポイントのソフトウェアのお客様や脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。ThreatCloudに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを追跡しながら、自社製品に搭載される保護機能の開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながらサイバーセキュリティ対策に取り組んでいます。

関連記事