米カルフォルニア州 サン カルロス - 2018年7月5日(日本では2018年8月21日付)
ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)は、2018年6月の『Global Threat Index(世界の脅威指標)』を発表しました。この最新のレポートによると、バンキング型トロイの木馬の世界的な影響が過去4か月で50%拡大し、このタイプのマルウェア・ファミリー2種が新たにランキングのトップテン入りしています。
機密情報の窃取とサービス妨害攻撃を目的とするバンキング型トロイの木馬Dorkbotは、2018年6月に全世界の7%の組織に感染。この影響の拡大により、チェック・ポイントのマルウェア・ランキングで8位から3位にランクアップしました。最近では被害者の銀行口座情報を窃取し、感染したマシンを踏み台にしてさらに感染を広げるバンキング型トロイの木馬Emotetの出現も確認されています。この新種は4月のランキングでは50位でしたが、2か月の間に急速に感染が広がり、最新版では11位までランクアップしています。銀行口座の情報やFTPのパスワードを窃取するバンキング型トロイの木馬Ramnitも、Dorkbotと揃ってトップ10入りしました。
チェック・ポイントの脅威情報グループ・マネージャを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「忘れがちなことですが、サイバー犯罪のほとんどは金銭の窃取を目的としています。ハッカーたちは手っ取り早く金銭を獲得するというシンプルな目標を達成するため、さまざまなツールを活用しています」と述べています。「2017年夏にも、バンキング型トロイの木馬を利用した攻撃の活発化(https://goo.gl/axx61R)が確認されています。サイバー犯罪者はおそらく、セキュリティ意識が低くなりがちな休暇中の旅行者を狙っているのでしょう。そうした旅行者は共用端末や安全性の低い接続を使ってオンライン・バンキングを利用する可能性があるためです。こうした事実から、金銭の窃取を狙う悪質なハッカーというのは実に戦略的であり、執拗でもあることがわかります」。
またホロウィッツは、「バンキング型トロイの木馬やその他の攻撃による被害を防ぐには、既存のマルウェア
・ファミリーによるサイバー攻撃と最新の脅威のどちらにも対応できる多層防御のサイバー・セキュリティ戦略が欠かせません」とも述べています。
2018年6月のマルウェア・ファミリー上位3種:
1 Coinhive: このマイニング・マルウェアはユーザがWebページを訪れたときに、通知や同意を得たりすることなく、そのユーザのコンピュータ・リソースを利用して仮想通貨Moneroの採掘を行います。ページに埋め込まれているJavaScriptがエンド・ユーザのマシンの処理能力を大量消費してコインを採掘するため、システムがクラッシュする場合もあります。
2 Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・マルウェアです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、ウェブサイトからの収入の一部を窃取します。
3 Dorkbot: リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。タイプとしてはバンキング型のトロイの木馬であり、機密情報の窃取とサービス妨害攻撃の遂行を主な目的としています。
企業のモバイルの利用環境を攻撃するために使われたマルウェアの中で一番多かったものは、スーパーユーザ権限を付与できるAndroid向けのモジュール型バックドアTriadaです。これに2位のLokibotと3位のThe Truth Spyが続いています。
2018年6月のモバイル・マルウェア上位3種:
1 Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与するAndroid向けのモジュール型バックドア。システムのプロセスにマルウェアが埋め込まれます。Triadaはブラウザに読み込まれるURLを偽装する動作も確認されています。
2 Lokibot: 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
3 TheTruthSpy: iPhoneとAndroid搭載端末に対応したスパイウェアであり、WhatsAppのメッセージ、Facebookのチャット、Webページの閲覧など、スマートフォンで行われるあらゆる活動を監視します。
チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。1位は世界の40%の組織が影響を受けるCVE-2017-7269。これに35%のCVE-2017-10271が続いています。3位は世界の15%の組織が影響を受けるSQLインジェクションです。
2018年6月の脆弱性上位3種:
1 Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269): Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。2017年3月からパッチが提供されています。
2 Oracle WebLogicのコンポーネントWLS Securityのリモート・コード実行(CVE-2017-10271): Oracle WebLogicのコンポーネントであるWLS Securityにはリモート・コード実行の脆弱性があります。これはOracle WebLogicによるxmlのデコードの処理方法に起因するものです。この攻撃が成功すると、リモートからコードが実行されてしまいます。2017年10月からパッチが提供されています。
3 SQLインジェクション:アプリケーションのソフトウェアにあるセキュリティの脆弱性を悪用するもので、クライアントからアプリケーションへの入力データにSQLクエリを挿入します。
このランキングを見ると、最新のテクニック(2017年に見つかった2つの脆弱性)に限らず、古典的な攻撃経路(SQLインジェクションなど)もしっかり使われていることがわかります。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻 撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
6月のマルウェア・ファミリー上位10種(https://goo.gl/7Uwqnu)の詳細なリストは、チェック・ポイントのブログでご確認ください。
チェック・ポイントの脅威対策に関する各種リソースについては、www.checkpoint.com/threat- prevention-resources/をご覧ください。
本リリースは、米国時間7月5日に配信されたものの抄訳です。
翻訳リリース本文はこちらをご確認ください。
https://www.checkpoint.co.jp/press/2018/pressrelease_20180821.html
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業などあらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供しています。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたるサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を保護するマルチレベルのセキュリティ・アーキテクチャに加え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。
ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)は、2018年6月の『Global Threat Index(世界の脅威指標)』を発表しました。この最新のレポートによると、バンキング型トロイの木馬の世界的な影響が過去4か月で50%拡大し、このタイプのマルウェア・ファミリー2種が新たにランキングのトップテン入りしています。
機密情報の窃取とサービス妨害攻撃を目的とするバンキング型トロイの木馬Dorkbotは、2018年6月に全世界の7%の組織に感染。この影響の拡大により、チェック・ポイントのマルウェア・ランキングで8位から3位にランクアップしました。最近では被害者の銀行口座情報を窃取し、感染したマシンを踏み台にしてさらに感染を広げるバンキング型トロイの木馬Emotetの出現も確認されています。この新種は4月のランキングでは50位でしたが、2か月の間に急速に感染が広がり、最新版では11位までランクアップしています。銀行口座の情報やFTPのパスワードを窃取するバンキング型トロイの木馬Ramnitも、Dorkbotと揃ってトップ10入りしました。
チェック・ポイントの脅威情報グループ・マネージャを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「忘れがちなことですが、サイバー犯罪のほとんどは金銭の窃取を目的としています。ハッカーたちは手っ取り早く金銭を獲得するというシンプルな目標を達成するため、さまざまなツールを活用しています」と述べています。「2017年夏にも、バンキング型トロイの木馬を利用した攻撃の活発化(https://goo.gl/axx61R)が確認されています。サイバー犯罪者はおそらく、セキュリティ意識が低くなりがちな休暇中の旅行者を狙っているのでしょう。そうした旅行者は共用端末や安全性の低い接続を使ってオンライン・バンキングを利用する可能性があるためです。こうした事実から、金銭の窃取を狙う悪質なハッカーというのは実に戦略的であり、執拗でもあることがわかります」。
またホロウィッツは、「バンキング型トロイの木馬やその他の攻撃による被害を防ぐには、既存のマルウェア
・ファミリーによるサイバー攻撃と最新の脅威のどちらにも対応できる多層防御のサイバー・セキュリティ戦略が欠かせません」とも述べています。
2018年6月のマルウェア・ファミリー上位3種:
1 Coinhive: このマイニング・マルウェアはユーザがWebページを訪れたときに、通知や同意を得たりすることなく、そのユーザのコンピュータ・リソースを利用して仮想通貨Moneroの採掘を行います。ページに埋め込まれているJavaScriptがエンド・ユーザのマシンの処理能力を大量消費してコインを採掘するため、システムがクラッシュする場合もあります。
2 Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・マルウェアです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、ウェブサイトからの収入の一部を窃取します。
3 Dorkbot: リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。タイプとしてはバンキング型のトロイの木馬であり、機密情報の窃取とサービス妨害攻撃の遂行を主な目的としています。
企業のモバイルの利用環境を攻撃するために使われたマルウェアの中で一番多かったものは、スーパーユーザ権限を付与できるAndroid向けのモジュール型バックドアTriadaです。これに2位のLokibotと3位のThe Truth Spyが続いています。
2018年6月のモバイル・マルウェア上位3種:
1 Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与するAndroid向けのモジュール型バックドア。システムのプロセスにマルウェアが埋め込まれます。Triadaはブラウザに読み込まれるURLを偽装する動作も確認されています。
2 Lokibot: 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
3 TheTruthSpy: iPhoneとAndroid搭載端末に対応したスパイウェアであり、WhatsAppのメッセージ、Facebookのチャット、Webページの閲覧など、スマートフォンで行われるあらゆる活動を監視します。
チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。1位は世界の40%の組織が影響を受けるCVE-2017-7269。これに35%のCVE-2017-10271が続いています。3位は世界の15%の組織が影響を受けるSQLインジェクションです。
2018年6月の脆弱性上位3種:
1 Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269): Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。2017年3月からパッチが提供されています。
2 Oracle WebLogicのコンポーネントWLS Securityのリモート・コード実行(CVE-2017-10271): Oracle WebLogicのコンポーネントであるWLS Securityにはリモート・コード実行の脆弱性があります。これはOracle WebLogicによるxmlのデコードの処理方法に起因するものです。この攻撃が成功すると、リモートからコードが実行されてしまいます。2017年10月からパッチが提供されています。
3 SQLインジェクション:アプリケーションのソフトウェアにあるセキュリティの脆弱性を悪用するもので、クライアントからアプリケーションへの入力データにSQLクエリを挿入します。
このランキングを見ると、最新のテクニック(2017年に見つかった2つの脆弱性)に限らず、古典的な攻撃経路(SQLインジェクションなど)もしっかり使われていることがわかります。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻 撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
6月のマルウェア・ファミリー上位10種(https://goo.gl/7Uwqnu)の詳細なリストは、チェック・ポイントのブログでご確認ください。
チェック・ポイントの脅威対策に関する各種リソースについては、www.checkpoint.com/threat- prevention-resources/をご覧ください。
本リリースは、米国時間7月5日に配信されたものの抄訳です。
翻訳リリース本文はこちらをご確認ください。
https://www.checkpoint.co.jp/press/2018/pressrelease_20180821.html
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業などあらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供しています。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたるサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を保護するマルチレベルのセキュリティ・アーキテクチャに加え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。