国内で2番目に活発だったトロイの木馬型マルウェアRemcos、ウクライナ政府に対する、サイバースパイ活動に関連している可能性を指摘。引き続き「教育・研究」分野が最も標的とされた業界に
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年2月の最新版Global Threat Index(世界脅威インデックス)を発表しました。2月には、リモートアクセス型トロイの木馬(RAT)Remcosが2022年12月以来初めてグローバルのトップ10リストに復活しました。Remcosはウクライナの政府機関を標的にしたフィッシング攻撃に使用されていることが報告されており、1.74%の国内組織にも影響を与えたとして国内ランキングの2位へと順位を上げています。一方、同じくトロイの木馬型マルウェアのEmotetは同2位へと順位を上げました。また、最も攻撃の標的とされている業種・業界は引き続き「教育・研究」分野となっています。
CPRによると、ロシアによる侵攻を受けた後のウクライナは、2022年10月から2023年2月にかけて1組織当たりのサイバー攻撃数の週平均は44%減少していることが確認されているものの、現在も依然としてサイバー犯罪者に人気のターゲットとなっていることが報告されています。直近の攻撃キャンペーンでは、攻撃者がウクライナ国営通信Ukrtelecomになりすまして大量の電子メールを配信し、悪意あるRAR添付ファイルを利用して、2022年12月以来初めてトップマルウェアのリストに復帰したトロイの木馬、Remcosを拡散しています。Remcosのツールがインストールされると、侵害されたシステム上にバックドアが作成されてリモートユーザーのフルアクセスが可能になり、データ流出やコマンドの実行などの活動ができるようになります。現在報告されている攻撃は、インシデントの行動パターンや攻撃能力から、サイバー領域におけるスパイ活動との関連があると考えられています。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「政治的な動機によるウクライナへの攻撃は減少していますが、それでもウクライナがサイバー犯罪者の戦場と化していることに変わりはありません。ロシアとウクライナの戦争が始まって以来、脅威アクターたちはハクティビズムを優先的に実行しています。多くの場合、DDoS攻撃のようなより妨害的で混乱を招く攻撃方法を好んで使用しており、高い注目を集めることにも成功しています。しかしながら、最新の攻撃キャンペーンではより従来に近い攻撃ルートが使用されており、フィッシング詐欺を利用してユーザー情報を取得し、データを抜き取るという手が使われています。あらゆる組織や政府機関にとって、電子メールを受信したり開いたりする際には、安全なセキュリティ対策の手順を順守することが重要です。決して、内容をスキャンする前に添付ファイルをダウンロードしないでください。メール本文内のリンクはクリックを避け、送信者アドレスに余計な文字やスペルミスなどの異常がないかを確認しましょう」
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。
国内ランキングでは、1月に3.80%の国内企業に影響を与え3位だったQbotが2月には1位へ順位を上げています。また 昨年国内でも猛威を振るったEmotetが12月以来の2位となっています。
1. ↑Qbot (4.07%) – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
2. ↑Emotet (1.74%) – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
2. ↑Remcos (1.74%) – 2016年に初めて出現したRATです。Remcosは、SPAMメールに添付される悪意のあるMicrosoft Office文書を通じて配布されます。Microsoft WindowsのUACセキュリティを回避し、高レベルの特権でマルウェアを実行するよう設計されています。
2. ↑XMRig (1.74%) – XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。
3. ↑SnakeKeylogger (1.45%) – 2020年11月末に初めて発見されたSnakeKeyloggerは、モジュール型の.NETキーロガー、そして認証情報の窃取ツールであり、主な機能は、ユーザーのキーストロークを記録し、集積したデータを脅威アクターに送信するというものです。このマルウェアは特に回避性能が高く、あらゆる種類の機密情報を盗むことが可能であるため、ユーザーのオンラインにおける安全性に対し、大きな脅威となります。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
2月、世界的に最も流行したマルウェアはQbotで、全世界の組織に7%以上の影響を与えています。2位はFormbookで世界的な影響は5%、3位はEmotetで影響は4%でした。
1. ↔ Qbot – 国内ランキングと同じく、世界的にも2023年2月に最も活発だったマルウェアとなりました。2022年12月からグローバルランキングにおいては、3ヶ月連続で1位にランクインしています。
2. ↑ FormBook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバの命令に従ってファイルをダウンロードして実行します。
3. ↑ Emotet – Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
世界的に最も攻撃されている業種、業界
2月、世界的に最も攻撃されている業界は「教育・研究」でした。2位は「政府・軍関係」、3位は「保健医療」となっています。
1. 教育・研究
2. 政府・軍関係
3. 保健医療
悪用された脆弱性のトップ
2月に最も広く悪用された脆弱性は「Webサーバへの悪意あるURLによるディレクトリトラバーサル」で、全世界の47%の組織に影響を及ぼしました。続く2位は「Webサーバ公開型Git リポジトリの情報漏えい」で世界的な影響は46%、3位には「Apache Log4jのリモートコード実行」が入り、世界的な影響は45%でした。
1. ↑ Webサーバへの悪意あるURLによるディレクトリトラバーサル – 複数のWebサーバ上に、ディレクトリトラバーサル攻撃に利用される脆弱性が存在しています。この脆弱性は、Webサーバ上において、ディレクトリトラバーサル攻撃のパターンを示すURIを適切に削除していないことによる入力バリデーションのエラーによるものです。この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者による、脆弱性のあるサーバ上の任意のファイルへのアクセスや、情報の漏えいが可能になります。
2. ↓ Webサーバ公開型Git リポジトリの情報漏えい – Gitのリポジトリには、情報漏えいの脆弱性が報告されています。この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性があります。
3. ↑ Apache Log4jのリモートコード実行(CVE-2021-44228)– Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
モバイルマルウェアのトップ
2月も引き続きAnubisが最も流行したモバイルマルウェアとなり、2位にHiddad、3位にはAhMythが続いています。
1. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
2. Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。
3. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。
チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ >は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。
2月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ< https://blog.checkpoint.com/2023/03/09/february-2023s-most-wanted-malware-remcos-trojan-linked-to-cyberespionage-operations-against-ukrainian-government/ >でご覧いただけます。
本リリースは米国時間2023年2月7日に発表されたプレスリリース(英語) < https://blog.checkpoint.com/2023/03/09/february-2023s-most-wanted-malware-remcos-trojan-linked-to-cyberespionage-operations-against-ukrainian-government/ >をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ >に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp
