2023年5月に最も活発だったマルウェアを発表
Qbotが国内・グローバルの首位に立つ一方、GuLoaderの革新的な新バージョンを確認教育・研究分野は引き続き最も攻撃された業種・業界の首位に
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. 以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年5月の最新版Global Threat Index(世界脅威インデックス)を発表した。
5月、シェルコードベースのダウンローダーGuLoaderの新バージョンが報告され、グローバルで流行したマルウェアの4位にランクインした。この最新型は完全に暗号化されたペイロードと解析対策技術を備え、Google Driveを含む知名度の高いパブリッククラウドサービス上に検知されることなく保存が可能。一方、流行したマルウェアではQbotが日本国内およびグローバルで首位、モバイルマルウェアではAnubisが首位となった。最も攻撃されている業種・業界では依然、教育・研究分野の首位が続いている。
大きく変化したGuLoader
ウイルス検知回避のためサイバー犯罪者が幅広く使用するマルウェアGuLoader が大きな変化を遂げた。最新のイテレーションでは正規プロセスにおいてコードを置き換える高度な手法が採用され、プロセス監視を行うセキュリティツールからの回避を容易にしている。ペイロードは完全に暗号化され、Google Driveを含む知名度の高いパブリッククラウドサービス上に検知されることなく保存さる。ペイロードはこの独自の合わせ技、すなわち暗号化、RAWバイナリ形式、ローダーからの分離によりアンチウイルスプログラムに認識されなくなり、世界中のユーザーや企業に大きな脅威を与えている。
Qbotが日本国内・グローバルで首位に浮上
また5月には日本国内およびグローバルでQbotが、モバイルマルウェアではAnubisが、各ランキング首位に立った。Officeファイルにおけるマクロのブロックによるマルウェア拡散抑制の努力にも関わらず、Qbotの背後にいる脅威アクターは素早く適応し配信と拡散を続けている。最近ではコンピュータへの感染を目的とし、Windows 10のWordPadプログラムが持つ弱点ダイナミックリンクライブラリ(DLL)ハイジャッキングの悪用が確認されている。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べている。
「公開されたツールやサービスをサイバー犯罪者がマルウェアキャンペーンの配信や保存に悪用するケースが増えています。配信元の信頼性は、もはや完全なセキュリティの保証とはなりません。この事実は、不審な活動を特定するための従業員教育が急務であることを浮き彫りにしています。リクエストが真正かつ無害であることが確実でない限り、個人情報の開示や添付ファイルのダウンロードは行わないよう強くお勧めします。加えて、Check Point Horizon XDR/XPRなど高度なセキュリティソリューションの導入が極めて重要です。Horizon XDR/XPRは、無害とされた行動が実際には悪意あるものであった場合にも効果的に識別でき、高度な脅威に対するさらなる保護の強化をもたらします」。
また、脅威インデックスによれば、最も攻撃されている業種・業界は引き続き「教育・研究」分野であった。さらに5月に最も悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の49%に影響を及ぼした。2位には「Apache Log4jのリモートコード実行」が、3位には「HTTPヘッダーのリモートコード実行」が、それぞれ45%と44%の僅差で続いている。
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示している。
5月の国内ランキングは、グローバルランク首位のQbotが国内企業3.46%に影響を及ぼし、4月の2位から順位を上げて首位に。2位にはキーロガーのAgentTeslaが影響値2.30%で続き、3位には先月から引き続きNanocoreと順位を上げたRemcosが影響値1.61%で並ぶ結果となった。
1. ↑ Qbot (3.46%) – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されている。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避する。2022年のキャンペーン開始以来、最も流行しているトロイの木馬の一つに台頭している。
2. ↑ AgentTesla (2.30%) – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出する。
3. ↔ NanoCore(1.61%)- Nanocoreは、Windows OSユーザーを標的とするリモートアクセス型トロイの木馬(RAT)で、2013年に初めて流行が観測された。このRATはそのすべてのバージョンで、画面キャプチャ、暗号通貨マイニング、デスクトップの遠隔操作、Webカメラセッションの窃取といった基本的なプラグインと機能性を備えている。
3. ↑ Remcos(1.61%)- 2016年に初めて出現したRAT。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されている。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示している。
5月、世界的に最も流行したマルウェアはQbotで全世界の組織の6%に影響を与えた。続く2位はFormBook で世界的な影響は5%、3位AgentTeslaの世界的な影響は3%であった。
1. ↑ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、キーストロークの記録、認証情報やブラウザからのクッキー情報の窃取、銀行アカウントアクティビティに対するスパイ、さらに追加的なマルウェアの展開を行うよう設計されている。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避する。2022年のキャンペーン開始以来、最も流行しているトロイの木馬の一つに台頭している。
2. ↑ Formbook – FormBookはWindows OSを標的とするインフォスティーラー。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されている。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録する。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードして実行する。
3. ↓ AgentTesla – Agent Teslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のマシンにインストールされている様々なソフトウェア(Google Chrome、Mozilla Firefox、Microsoft Outlookなど)を通じて認証情報を抽出する。
世界的に最も攻撃されている業種、業界
世界的に最も攻撃されている業界は、5月も引き続き「教育・研究」でした。続く2位は「政府・軍関係」、3位は「保健医療」。
1. 教育・研究
2. 政府・軍関係
3. 保健医療
悪用された脆弱性のトップ
5月、最も広く悪用された脆弱性は「Webサーバーへの悪意あるURLによるディレクトリトラバーサル」で、全世界の組織の49%に影響を及ぼした。続く2位は「Apache Log4jのリモートコード実行」で世界的な影響は45%、3位は「HTTPヘッダーのリモートコード実行」で、世界的な影響は44%であった。
1. ↔ Webサーバへの悪意あるURLによるディレクトリトラバーサル – 複数のWebサーバー上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在している。この脆弱性は、Webサーバー上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるもの。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になる。
2. ↔ Apache Log4jのリモートコード実行(CVE-2021-44228) – Apache Log4jには、リモート操作でコードを実行される脆弱性が存在している。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性がある。
3. ↔ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756)– HTTPヘッダーは、クライアントとサーバーがお互いにHTTPリクエストなどで追加情報を受け渡すためのもの。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができる。
モバイルマルウェアのトップ
5月はAnubisが順位を上げ、最も流行したモバイルマルウェアの首位に。2位にはAhMyth、3位にはHiddadが続いている。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されている。
2. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されている。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行う。
3. Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開している。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントのセキュリティを支える頭脳であるThreatCloud AIによって実現されている。ThreatCloud AIは、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供する。このインテリジェンスは、台頭する脅威を特定・防御する40以上ものAIエンジンおよび機械学習テクノロジーと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されている。
5月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイント < https://blog.checkpoint.com/security/may-2023s-most-wanted-malware-new-version-of-guloader-delivers-encrypted-cloud-based-payloads/ > のブログで確認が可能である。
本プレスリリースは、米国時間2023年6月9日に発表されたプレスリリース(英語) < https://www.checkpoint.com/press-releases/may-2023s-most-wanted-malware-new-version-of-guloader-delivers-encrypted-cloud-based-payloads/ > をもとに作成している。
