最も攻撃されている業界は引き続き「教育・研究」が圧倒的1位。サイバー戦争が激化する中ウクライナの脅威ランキングが上昇
チェック・ポイント:2022年9月に最も活発だったマルウェアを発表 2月より国内1位に君臨していたEmotetがランキングから外れる
カリフォルニア州サンカルロス – 2022年10月12日 – 包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2022年9月の最新版Global Threat Index(世界脅威インデックス)を発表した。
国内、グローバルともにEmotetがランキングから外れる
国内ランキングでは、AgentTesla、XMRig、Ramnit、Remcos、Lamerがそれぞれ1.51%の日本企業に影響を与え、同率で1位という結果になった。2月から7月まで6ヶ月連続でトップに君臨し続け、5月時点では20.98%もの日本企業に影響を与えたEmotet(エモテット)は、8月に影響値0.08%で2位だったが、9月は国内10位からも外れた。かつては「最恐のマルウェア」とも呼ばれた、自己増殖する非常に高度なモジュール型トロイの木馬であるEmotetだが、その影響力は着実に落ちている。
グローバル全体の傾向としては、9月も依然としてFormbookが最も流行しているマルウェアのトップに留まり、全世界の組織の3%に影響を与えている一方で、Vidarが前月から順位を7つ上げ、8位にランクインした。Vidarはバックドアによるアクセスを可能にするよう設計されたインフォスティーラーで、感染したデバイスから銀行の機密情報、ログイン認証情報、IPアドレス、ブラウザの履歴や仮想通貨のウォレット情報などを盗み出す。Vidarの被害が増加した背景にあるのは、「zoomus[.]website」や「zoom-download[.]space」といった偽のZoomサイトを使って無警戒なユーザーにマルウェアをダウンロードさせる悪質な攻撃キャンペーン。
なお、世界的に最もサイバー攻撃が集中した業界は、9月も依然として「教育・研究」分野となっている。
サイバー戦争の激化が顕著に
ロシアとウクライナの戦争が激化する中で、東欧の多くの国の脅威ランクが大きく変化していることが指摘されている。「脅威ランク」とは、ある1つの組織が特定の国において、世界の他の国と比較してどの程度攻撃されているかを表す指標。9月中には、ウクライナの脅威ランクが26も上昇し、ポーランドとロシアは18ランク、リトアニアとルーマニアが17ランクと、それぞれ世界における順位を上げた。これらの国々は今やすべて上位25位以内にランクインしており、この1ヶ月で大きな順位変動が起こっている。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べている。
「戦場での戦いが続くと同時に、サイバー空間での戦争も続いています。先月、多くの東欧諸国の脅威ランクが上昇したのは、偶然ではないでしょう。今やあらゆる組織がリスクにさらされており、手遅れになる前に、防止/阻止優先のサイバーセキュリティ戦略へと移行する必要があります。9月に最も流行したマルウェアのランキングを見てみると、興味深いことに、Vidarが久々にトップ10に躍り出ました。最近、VidarマルウェアはZoomを装う不正なリンクによって配布されているため、Zoomのユーザーは今後も注意する必要があります。URLに不一致やスペルミスがないか、常に目を光らせてください。もし怪しいと感じたなら、それは恐らく偽のリンクです」。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示している。
1. ↑ Agent Tesla (1.51%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出する。
1. ↑ XMRig (1.51%) – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェア。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用する。
1. ↑Ramnit (1.51%) – Ramnitは、2010年に初めて発見されたモジュール型のバンキング型トロイの木馬。Ramnitは、Webセッション情報を盗み、銀行口座、企業やソーシャルネットワークのアカウントなど、被害者が使用するすべてのサービスのアカウント情報を盗み出すことができる。このトロイの木馬は、ハードコードされたドメインと、DGA(Domain Generation Algorithm)によって生成されたドメインの両方を使用して、C&Cサーバーに接触し、追加のモジュールをダウンロードする。
1. ↑Remcos (1.51%) – 2016年に初めて出現したRAT。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布される。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されている。
1. ↑Lamer (1.51%) – Lamerはトロイの木馬型マルウェアで、気付かれないようにしながら情報を盗むなどの悪意のある目的のためにPCの防御に侵入する。Lamerは、悪意のある電子メールスパムまたは一連の感染ツールを介して拡散する。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
9月も、Formbookが最も流行したマルウェアの首位に留まり、全世界の組織の3%に影響を及ぼしている。続く2位と3位にはXMRigとAgent Teslaがランクインし、世界的な影響はいずれも2%であった。
1.↔ FormBook – FormBookはWindows OSを標的とするインフォスティーラー。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録する。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行する。 2.↑ XMRig – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェア。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用する。 3.↓ Agent Tesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出する。 |
世界で最も攻撃されている業種、業界
前月に引き続き、世界的に最も攻撃されている業界は「教育・研究」。続く2位は「政府・軍関係」、3位は「保健医療」となっている。
1.教育・研究 2.政府・軍関係 3.保健医療 |
悪用された脆弱性のトップ
9月は「Webサーバ公開型Git リポジトリの情報漏えい」が最も広く悪用された脆弱性で、全世界の組織の43%に影響を及ぼしている。次いで、前月1位だった「Apache Log4jのリモートコード実行」が2位となり、世界的な影響は42%だった。また、9月には「HTTPへのコマンドインジェクション」が、世界的な影響40%で3位に躍り出た。
1.↑ Webサーバ公開型Git リポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されている。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性がある。 2.↓ Apache Log4jのリモートコード実行(CVE-2021-44228)– Apache Log4jには、リモート操作でコードを実行される脆弱性が存在している。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性がある。 3.↑HTTPへのコマンドインジェクション(CVE-2021-43936,CVE-2022-24086) – HTTPへのコマンドインジェクションの脆弱性が報告されている。リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用する。これに成功すると、攻撃者は標的のマシン上で任意のコードを実行できるようになる。 |
モバイルマルウェアのトップ
9月のモバイルマルウェアのランキングではAnubisが首位に躍り出ました。2位にHydra、3位にはJokerが続いています。
1.Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、さまざまなランサムウェア機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。 2.Hydra – Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬。 3.Joker – JokerはGoogle Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計されている。さらにこのマルウェアは、被害者の同意や認識を得ずに有料のプレミアムサービスに登録することも可能。 |
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloudは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供する。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されている。
9月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログで閲覧が可能だ。