2024年11月、日本で最も活発だったマルウェアとは？──チェック・ポイント調査

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（以下、CPR）は、2024年11月の最新版Global Threat Index（世界脅威インデックス）を発表した。

　今回の調査で、現在マルウェアランキングの首位に立つAndroxgh0stが、IoTデバイスやWebサーバなど、重要インフラの基幹となる部分を含む、複数のプラットフォームの脆弱性を悪用していると判明したという。Moziの戦術を採用し、リモートコード実行と認証情報の窃取により、システムへの持続的なアクセスを維持しながら、DDoS攻撃やデータ窃取といった活動を行っているとのことだ。これらの攻撃は、産業界全体に連鎖的な影響を及ぼしており、インフラに依存する政府、企業、個人にとってリスクとなるという。

　詳細は以下のとおり。

国内で活発な上位のマルウェアファミリー

1位. Androxgh0st（3.20％）

　Androxgh0stは、Windows、Mac、Linuxのプラットフォームをターゲットとするボットネット。初期の感染で複数の脆弱性を悪用し、特にPHPUnit、Laravel Framework、 Apache Web Serverを標的にするという。同マルウェアは、Twilioのアカウント情報、SMTP認証情報、AWSキーなどの機密情報を盗み取り、Laravelのファイルを使用して必要な情報を収集。異なる情報をスキャンするための様々な亜種が存在しているとのことだ。

2位. BMANAGER（1.60％）

　BMANAGERは、Boolkaとして知られる脅威行為者に起因するモジュール型トロイの木馬。2022年以降、Boolkaは単純なスクリプト攻撃の展開から、BMANAGERトロイの木馬を含むマルウェア配信システムの使用へと進化しているという。同マルウェアは、ステルス的なデータ流出とキーロギングを目的として設計された、様々なコンポーネントを含むスイートの一部。主に、ウェブサイトへのSQLインジェクション攻撃によって配布され、脆弱性を悪用してユーザー入力を傍受し、データを盗み出すとしている。

同率2位. FakeUpdates（1.60％）

　FakeUpdates（別名、SocGholish）は、JavaScriptで書かれたダウンローダー。ペイロードが実行される前に、ディスクにペイロードを書き込み、GootLoader、Dridex、NetSupport、DoppelPaymer、AZORultなど、他の多くのマルウェアによる侵害を引き起こすとのことだ。

同率2位. AgentTesla（1.60%）

　AgentTeslaは、キーロガーとインフォスティーラーとしての機能を有するRAT。被害者のキーボード入力や、システムキーボードの監視とデータ収集、スクリーンショットの撮影、被害者のデバイスにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出するという。

同率2位. Remcos（1.60％）

　Remcosはリモートアクセス型トロイの木馬（RAT）。スパムメールに添付された悪意のあるMicrosoft Officeドキュメントを通じて展開するという。WindowsのUACセキュリティを回避し、管理者権限でマルウェアを実行するように設計されているとのことだ。

悪用された脆弱性のトップ

1. HTTPへのコマンドインジェクション（CVE-2021-43936、CVE-2022-24086）：リモートの攻撃者は、特別に作成した不正リクエストを被害者に送信することでこの脆弱性を悪用。これに成功すると、攻撃者は標的のデバイス上で任意のコードを実行できるようになる
2. Webサーバー公開型Git リポジトリの情報漏えい：この脆弱性を悪用されると、アカウントの情報が意図せず漏えいする可能性がある
3. ZMapセキュリティスキャナー（CVE-2024-3378）：ZMapは脆弱性をスキャンするソフトウェア。攻撃者は遠隔でZMapを使用し、ターゲットのサーバーの脆弱性を検出することが可能

モバイルマルウェアのトップ

1. Joker：Google Playストア内のアプリに潜伏するAndroid端末向けスパイウェアで、SMSメッセージや連絡先リスト、デバイス情報の窃取を目的に設計。被害者に認識されることなく有料のプレミアムサービスに登録することも可能
2. Anubis：Androidデバイスを標的として設計されたバンキング型トロイの木馬。リモートアクセス型トロイの木馬（RAT）としての機能、キーロガーや音声録音、ランサムウェアが持つ様々な機能など、多くの機能が追加されている。Googleストア上で公開されている数百種類のアプリから検出
3. Necro：Android向けのトロイの木馬型ドロッパー。他のマルウェアをダウンロードしたり、迷惑広告を表示したり、有料のサブスクリプションサービスの料金を請求し金銭を盗んだりする

世界的に攻撃されている業種、業界

1. 教育・研究
2. 通信
3. 政府・軍関係

活発なランサムウェアグループ

　このデータは、二重恐喝型ランサムウェアグループが被害者の情報を掲載する目的で運営しているリークサイト（Shame Sites）から得られたインサイトに基づいているという。詳細は以下のとおり。

1位. RansomHub

　RansomHubは、ランサムウェアのリブランド版として登場したRaaS（サービスとしてのランサムウェア）。Windows、macOS、Linux、VMware ESXi環境など、様々なシステムを標的にした攻撃的キャンペーンによって、知名度を上げたと同社は述べる。高度な暗号化手法を用いることで知られているとのことだ。

2位. Akira

　WindowsとLinux両方のシステムが標的。Akiraは、ファイルの暗号化にCryptGenRandomとChacha 2008を使った対称暗号を用いており、ランサムウェアハンドブックが流出したConti v2と類似しているという。感染した電子メールの添付ファイルやVPNエンドポイントのエクスプロイトなど、様々な手段を通じて配布されるとのことだ。感染すると、データの暗号化が始まり、ファイル名に「.akira」という拡張子が追加される。その後、復号化のための支払いを要求する身代金メモが提示されるとのことだ。

同率2位. KillSec3

　KillSec3は、2023年10月に出現したロシア語圏のサイバー脅威グループ。RaaSプラットフォームを運営しており、攻撃的なサイバー犯罪サービスも提供しているという。その中には、DDoS攻撃や「ぺネストレーションテスト（侵入テスト）サービス」と称する不正サービスも含まれるとのことだ。被害者リストを分析すると、同様のグループと比較して、インドの被害者が多く、アメリカの被害者の割合が少ない。主な攻撃対象は、医療機関や政府機関だという。

【関連記事】
・ハマスとの関連が濃厚な脅威グループ「WIRTE」のスパイ活動・破壊工作が拡大──チェック・ポイント
・チェック・ポイント、AIエンジンによるゼロデイ脅威のブロックなど50以上の新機能を発表
・チェック・ポイント、Harmony SASE上で生成AIによるアシスタントのプレビュー版を提供