チェック・ポイント・リサーチ、2023年3月に最も活発だったマルウェアを発表

Microsoftのブロックをかいくぐって悪意あるOneNoteファイルを拡散する、Emotetの新たな攻撃キャンペーンを発見

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2023年3月の最新版Global Threat Index(世界脅威インデックス)を発表しました。この3月には、トロイの木馬型マルウェアEmotetの新たな手口を使用した攻撃キャンペーンが発見され、最も流行したマルウェアの2位に上昇しています。

今年2月にMicrosoftがOfficeファイルのマクロをデフォルトでブロックする < https://learn.microsoft.com/en-us/deployoffice/security/internet-macros-blocked > と発表して以来、Emotetの攻撃者たちは悪意あるファイルを拡散する代替方法を模索しています。最新の攻撃キャンペーンでは、悪意あるOneNoteファイルを含んだスパムメールを送信していることが確認されました。このスパムメールを開くと偽のメッセージが表示され、被害者にドキュメントのリンクをクリックさせてEmotet感染するよう誘導します。Emotetがインストールされると、このマルウェアはログイン認証や連絡先の情報など、ユーザーの電子メールのデータを収集することができます。そして攻撃者は、キャンペーンの範囲を拡大して将来の攻撃を容易にするために、それらの情報を使用します。

チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は次のように述べています。
「大手IT企業は、サイバー犯罪者の脅威をできるだけ早い段階で断ち切るために最善を尽くしていますが、セキュリティ対策を回避する攻撃をすべて阻止することは不可能に近いことです。ご存じの通りEmotetは非常に巧妙なトロイの木馬であり、Microsoftの最新の防御策をかいくぐったこともそれほど驚くべきことではありません。皆さんができることの中で最も重要なことは、適切なメールセキュリティを採用し、不審なファイルの不用意なダウンロードを避け、メールの送信元やその内容に対して常に懐疑的であり続けることです」

また、CPRによると、3月に最も悪用された脆弱性は「Apache Log4jのリモートコード実行」で、全世界の44%の組織に影響を及ぼしました。続く2位は「HTTPヘッダーのリモートコード実行」で世界的な影響は43%、3位は「MVPower DVRのリモートコード実行」で、世界的な影響は40%でした。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動、( )内の数字は国内企業への影響値を示しています。

国内ランキングでは、2月に引き続きQbot が1位となりました。XMRigとSnakeKeyloggerが同率2位、Ursnifという銀行などの金融機関を標的としたマルウェアが3位となりました。

1. ↔ Qbot (4.90%) - Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
2. ↔ XMRig (1.44%) - XMRigは、仮想通貨Moneroのマイニングに使用されるオープンソースのCPUマイニングソフトウェアです。脅威アクターは多くの場合、このオープンソースソフトウェアをマルウェアに組み込み、被害者のデバイス上で違法なマイニングを行う形で悪用します。
2. ↑ SnakeKeylogger (1.44%) - 2020年11月末に初めて発見されたSnakeKeyloggerは、モジュール型の.NETキーロガー、そして認証情報の窃取ツールであり、主な機能は、ユーザーのキーストロークを記録し、集積したデータを脅威アクターに送信するというものです。このマルウェアは特に回避性能が高く、あらゆる種類の機密情報を盗むことが可能であるため、ユーザーのオンラインにおける安全性に対し、大きな脅威となります。
3. ↑ Ursnif(1.15%)- Ursnifは、ソースコードがオンライン上に流出したWindows用バンキング型トロイの木馬「Gozi」の亜種です。マンインザブラウザ機能を持ち、銀行情報や一般的なオンラインサービスの認証情報を盗むことができます。さらに、ローカルの電子メールクライアント、ブラウザ、暗号通貨ウォレットから情報を盗むことができます。最後に、感染したシステム上で追加ファイルをダウンロードし実行することができます。

グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

3月、世界的に最も流行したマルウェアはQbotで、全世界の組織の10%以上に影響を与えました。次いで流行したのはEmotetとFormbookで、いずれも世界的な影響は4%でした。
  1. ↔ Qbot – Qbot、別名Qakbotは、2008年に初めて発見されたバンキング型トロイの木馬で、銀行の認証情報とキーストロークを盗み出すよう設計されています。スパムメールを通じて拡散されることが多く、アンチVM(仮想マシン)、アンチデバッグ、アンチサンドボックスなど複数の手法を用いて解析を妨げ、検知を回避します。
  2. ↑ Emotet - Emotetは自己増殖する非常に高度なモジュール型トロイの木馬です。かつてはバンキング型トロイの木馬として使用されていましたが、最近では他のマルウェアの拡散や悪質なキャンペーンにも使われています。Emotetは持続性を維持する様々な手段と、検知を免れるための回避技術を搭載しており、悪意ある添付ファイルやリンクを含むフィッシングメールを介して拡散されます。
  3. ↓ FormBook – FormBookはWindows OSを標的とするインフォスティーラーです。2016年に初めて検知されたこのマルウェアは、強力な回避技術と比較的安価な価格から、ハッキングフォーラムでは「Malware-as-a-Service(MaaS)」として販売されています。FormBookは様々なWebブラウザから認証情報を集積し、スクリーンショットを収集し、キーストロークを監視・記録します。また、C&C(コマンド&コントロール)サーバーの命令に従ってファイルをダウンロードして実行します。

世界的に最も攻撃されている業種、業界
3月も、世界的に最も攻撃されている業界は「教育・研究」でした。2位は「政府・軍関係」、3位は「保健医療」となっています。
  1. 教育・研究
  2. 政府・軍関係
  3. 保健医療

悪用された脆弱性のトップ
3月、最も広く悪用された脆弱性は「Apache Log4jのリモートコード実行」で、全世界の44%の組織に影響を及ぼしました。続く2位は「HTTPヘッダーのリモートコード実行」で世界的な影響は43%、3位は「MVPower DVRのリモートコード実行」で世界的な影響は40%でした。
 
  1. ↑ Apache Log4jのリモートコード実行(CVE-2021-44228)- Apache Log4jには、リモート操作でコードを実行される脆弱性が存在しています。この脆弱性が悪用されると、影響を受けているシステム上で、リモート攻撃者に任意のコードを実行される可能性があります。
  2. ↑ HTTPヘッダーのリモートコード実行(CVE-2020-10826、CVE-2020-10827、CVE-2020-10828、CVE-2020-13756) - HTTPヘッダーは、クライアントとサーバーが互いにHTTPリクエストなどで追加情報を受け渡すためのものです。リモートの攻撃者は、脆弱なHTTPヘッダーを悪用することで、被害者のマシン上で任意のコードを実行することができます。
  3. ↑ MVPower DVRのリモートコード実行 – MVPowerのDVR(デジタルビデオレコーダー)デバイスには、リモートでコードを実行される脆弱性が存在しています。攻撃者は遠隔でこの弱点を悪用し、細工されたリクエストによって、影響を受けているルーター上で任意のコードを実行することができます。

モバイルマルウェアのトップ
3月には、AhMythが最も流行したマルウェアの首位に踊り出ました。2位にはAnubis、3位にはHiddadが続いています。
  1. AhMyth – AhMythは、2017年に発見されたリモートアクセス型トロイの木馬(RAT)です。アプリストアや各種ウェブサイト上で公開されているAndroidアプリによって配布されています。ユーザーがこのマルウェアに感染したアプリをインストールすると、マルウェアはデバイス上で機密情報を収集し、キーログやスクリーンショットの撮影、SMSメッセージの送信、カメラの起動など、機密情報を盗み出すためのアクションを行います。
  2. Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬(RAT)としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。
  3. Hiddad – HiddadはAndroid端末向けのマルウェアで、正規のアプリケーションをリパッケージし、サードパーティーのアプリストア上で公開しています。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティデータにアクセスすることも可能です。

チェック・ポイントのGlobal Threat Impact Index とThreatCloud Mapは、チェック・ポイントの ThreatCloudインテリジェンスによって実現されています。ThreatCloud < https://www.checkpoint.com/infinity/threatcloud/ >  は、ネットワーク、エンドポイント、モバイルを網羅する世界中の数億個のセンサーから得られるリアルタイムの脅威インテリジェンスを提供します。このインテリジェンスは、AIベースのエンジンと、チェック・ポイント・ソフトウェア・テクノロジーズのインテリジェンス・リサーチ部門であるチェック・ポイント・リサーチによる独自のリサーチ・データによって強化されています。

3月のマルウェアファミリー上位10件のリストの完全版は、チェック・ポイントのブログ < https://blog.checkpoint.com/security/march-2023s-most-wanted-malware-new-emotet-campaign-bypasses-microsoft-blocks-to-distribute-malicious-onenote-files/ > でご覧いただけます。

本プレスリリースは、米国時間2023年4月10日に発表されたブログ(英語)< https://blog.checkpoint.com/security/march-2023s-most-wanted-malware-new-emotet-campaign-bypasses-microsoft-blocks-to-distribute-malicious-onenote-files/ >をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud < https://www.checkpoint.com/infinity-vision/threatcloud/ >  に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・Twitter: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp

このプレスリリースには、メディア関係者向けの情報があります

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。※内容はプレスリリースにより異なります。


会社概要

URL
https://www.checkpoint.com/jp
業種
情報通信
本社所在地
東京都港区虎ノ門1-2-8 虎ノ門琴平タワー25F
電話番号
03-6205-8340
代表者名
佐賀 文宣
上場
未上場
資本金
2000万円
設立
1997年10月