チェック・ポイント・リサーチ、2024年12月に最も活発だったマルウェアを発表　新たなランサムウェアグループ「FunkSec」が猛威を振るう

サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、2024年12月の最新版Global Threat Index（世界脅威インデックス）を発表しました。

2024年末、FunkSecがサイバー脅威の最前線に躍り出ました。RaaS（サービスとしてのランサムウェア）の主要な攻撃者として台頭したFunkSecは、2024年12月にデータリークサイト（DLS）で85件以上の被害者プロファイルを公開し、大きな波紋を呼びました。しかし、CPRが発表した2024年12月のGlobal Threat Index（世界脅威インデックス）で、この急速な台頭の背後にある複雑な実態が明らかになりました。

FunkSecの急速な成長は、RaaS運営者の戦術が進化していることを示しています。人工知能（AI）を活用して業務を拡大し、ランサムウェアの生成や二重恐喝キャンペーンの管理にAIを多用していると見られています。しかし、CPRの分析によると、この革新的なアプローチは適応力の高さを示す一方で、高度な技術力の欠如も指摘されています。FunkSecが公開した主張の多くは、使い回しや偽造、未確認の可能性もあり、同グループの信頼性や実行能力に疑問が投げかけられています。

CPRの調査では、FunkSecの活動はアルジェリアと関連があり、金銭的動機とハクティビズムの思想が混在していることが示唆されています。この2つの動機は、政治的混乱と利益追求型サイバー犯罪の境界線上で活動する点で、FunkSecを既存のランサムウェアグループと一線を画すものとしています。

国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。

2024年12月に最も流行したマルウェアはFakeUpdatesで、国内企業の2.56%に影響を与え、約4ヵ月ぶりに首位になりました。2位は前月に続いてRemcosで、Lamerが1.42%で3位に浮上しました。

1. ↑ FakeUpdates（2.56%）– FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。 

2.  ↔ Remcos（1.70%）– Remcosは2016年に初めて出現したリモートアクセス型トロイの木馬（RAT）で、スパムメールに添付された悪意のあるMicrosoft Officeドキュメントを通じて展開します。WindowsのUACセキュリティを回避し、管理者権限でマルウェアを実行するように設計されています。

3.  ↑ Lamer  (1.42%) – Lamerはトロイの木馬型マルウェアで、気付かれることなく情報を窃取するなどの悪意のある目的でPCの防御を突破して侵入します。Lamerは、悪意のあるスパムメールや感染ツールを通じて拡散します。

2024年12月に活発だった上位のマルウェアファミリー

* 矢印は、前月と比較した順位の変動を示しています。

12月に最も流行したマルウェアは、FakeUpdatesで、全世界の組織の5%に影響を及ぼしました。続くAgentTeslaとAndroxgh0stはともに3%でした。これらのマルウェアの亜種は、認証情報の窃取からクロスプラットフォームのボットネットの悪用まで、様々な戦術を用いています。

1.  ↑ FakeUpdates – FakeUpdates、別名SocGholishは、JavaScriptで書かれたダウンローダーです。FakeUpdatesはペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによるさらなる侵害を引き起こします。

2. ↑ AgentTesla – AgentTeslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のデバイスにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出します。

3. ↓ Androxgh0st – Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネットです。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にします。このマルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集します。Androxgh0stには、異なる情報をスキャンするための様々な亜種が存在しています。

モバイルマルウェアのトップ

2024年12月に最も流行したモバイルマルウェアのランキングでは、リモートアクセスとランサムウェアの機能で知られるAnubisが首位に立ちました。続く2位はトロイの木馬ドロッパーのNecroで、3位にバンキングの情報を狙うマルウェアHydraがランクインしました。

1.    ↑ Anubis – AnubisはAndroidデバイスを標的として設計されたバンキング型トロイの木馬です。最初に検出されて以来、リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されています。AnubisはGoogleストア上で公開されている数百種類のアプリから検出されています。

2.    ↑ Necro - NecroはAndroid向けのトロイの木馬型ドロッパーで、他のマルウェアをダウンロードしたり、迷惑広告を表示したり、有料のサブスクリプションサービスの料金を請求して金銭を盗んだりします。

3.    ↑ Hydra– Hydraは、保護レベルの高いパーミッションについて被害者に許可を要求し、金融認証情報を盗み出すよう設計されたバンキング型トロイの木馬です。

世界的に最も攻撃されている業種、業界
2024年12月、世界的に最も攻撃されている業界は「教育・研究」で、5カ月連続でトップにランクインしました。2位は「通信」、3位は「政府・軍関係」でした。こうした傾向は、相互接続されたシステムや機密データに大きく依存する業界における、継続的な脆弱性を浮き彫りにしています。

1.    教育・研究

2.    通信

3.    政府・軍関係

最も活発なランサムウェアグループ
ランサムウェアグループが運営するリークサイト（Shame Sites）のデータによると、2024年12月に最も活発だったランサムウェアグループはFunkSecで、リークサイトで公表された攻撃のうち14%に関与していました。RansomHubとLeakeDataはいずれも全体の9%を占めました。

1.    FunkSec – FunkSecは2024年12月に初めて出現した新興のランサムウェアグループで、二重恐喝の手口を用いることで知られています。一部の報告では、2024年9月から活動を開始したとされています。特筆すべきは、FunkSecのデータリークサイトがランサムウェアのインシデントとデータ侵害の報告を組み合わせていることで、これにより異常に多い被害者数が報告されています。

2.    RansomHub - RansomHubは、かつてKnightとして知られていたランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）です。2024年初頭、アンダーグラウンドのサイバー犯罪フォーラムに突如姿を現したRansomHubは、Windows、macOS、Linux、そして特にVMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、急速に知名度を上げました。このマルウェアは、高度な暗号化手法を用いることで知られています。

3.    LeakeData - LeakeDataは最近確認されたグループのひとつで、ウェブ上でデータリークサイトを運営しています。このサイトでは、被害者とされる人々のデータをリスト化し、今後の情報公開までのカウントダウンを表示しています。恐喝グループを装っているものの、サイトにはコミュニケーション手段が用意されておらず、この組織の実態や、被害者として名指しされた組織が実際に被害を受けているのかどうか、そして真の目的は不明なままとなっています。

国ごとの脅威インデックス
下の地図は、世界のリスク指数（濃い赤色ほどリスクが高い）を示したもので、主な高リスク地域が把握できます。

結論

2024年12月のサイバー脅威の情勢は、サイバー犯罪者の戦術が急速に進化していることを浮き彫りにしています。特に、FunkSecの台頭は、ランサムウェアにおけるAI駆動型のオペレーションの採用が増加していることを示しています。FunkSecの手法は物議を醸しており、信頼性に疑問が持たれているものの、その活動から新興グループであっても重大な脅威となり得ることが明らかとなりました。また、FakeUpdatesやAgentTeslaといった従来型マルウェアが依然として猛威を振るっており、スマートフォンを標的とした攻撃も続いています。さらに、重要産業におけるセキュリティの脆弱性も新たに発見されており、より強固な予防的セキュリティ対策の構築が急務となっています。

組織は、これらの脅威に対抗するために、高度なテクノロジーやリアルタイムの脅威インテリジェンス、包括的な防御戦略を活用し、迅速に適応していく必要があります。2025年に向けて、リスクを軽減し、デジタルの安全な未来を確保するためには、最新のトレンドを把握し続けることが不可欠となります。

本プレスリリースは、米国時間2025年1月16日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて 
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/ 
X: https://twitter.com/_cpresearch_ 

チェック・ポイントについて 
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント  
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X: https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp