多目的のバンキング型トロイの木馬Trickbotが2年ぶりにマルウェア・ファミリー上位10種に登場
米カルフォルニア州サンカルロス - 2019年5月14日--ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)の脅威情報部門であるCheck Point Researchは、2019年4月の『Global Threat Index(世界の脅威指標)』を発表しました。今月のランキングでは、バンキング型トロイの木馬Trickbotが、約2年ぶりにトップ10への返り咲きを果たしています。
Trickbotに代表される多目的のバンキング型トロイの木馬は、金銭的利益を目的とするサイバー犯罪者の間で広く使用されてきました。Trickbotを使用したキャンペーンは4月に入って急増しており、間もなく期限を迎える米国の個人確定申告に便乗したスパム・キャンペーンが複数確認されています。これらのスパム・キャンペーンで拡散している電子メールには、感染先のコンピュータにTrickbotをダウンロードするExcelファイルが添付されています。Trickbotはネットワーク全体に感染を広げ、銀行の口座情報を収集するほか、詐欺に利用できる税務書類の窃取を試みる場合もあります。
4月のランキング・トップ10のうち、トップ3はマイニング・ツールでしたが、残り7つはすべて多目的型のトロイの木馬でした。この結果は、複数の主要マイニング・サービスの閉鎖やここ1年間における仮想通貨の価値下落に伴い、より大きな金銭的利益を見込める攻撃手法にサイバー犯罪者が移行している可能性を示しています。
チェック・ポイントの脅威情報およびリサーチ担当ディレクターを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「今月のランキングでは、TrickbotとEmotetの両方がトップ10入りを果たしました。この動きが懸念されるのは、両者共に個人情報や認証情報を窃取するだけでなく、Ryukランサムウェアを拡散するように進化を遂げているためです。Ryukは、データベースやバックアップ・サーバなどのシステムのデータを暗号化して、最高で100万ドルを超える身代金を要求します。これらのマルウェアは常に進化を遂げているため、高度な脅威対策ソリューションを導入して、感染被害を防ぐ強固な防御体制を構築することが重要となります」と述べています。
2019年4月のマルウェア・ファミリー上位3種:
1. Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。元々はCoinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
2. XMRig: 仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
3. JSEcoin: Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
モバイル・マルウェア・ランキングでは、Hiddadに代わってTriadaが第1位となりました。第2位は前月に引き続きLootorが入り、Hiddadは第3位に順位を落としています。
2019年4月のモバイル・マルウェア上位3種:
1. Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装するタイプも確認されています。
2. Lotoor: Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
3. Hiddad: 正規のアプリを再パッケージしてサードパーティ・アプリ・ストアで公開するAndroidマルウェアです。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティ情報にアクセスできるため、機密性の高いユーザ・データを窃取されるおそれがあります。
チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。第1位は、世界の44%の組織に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩」です。第2位は、1年ぶりにトップから陥落したCVE-2017-7269、第3位はCVE-2017-5638となっています。それぞれ、40%の組織、38%の組織に影響を与えています。
2019年4月の脆弱性上位3種:
1. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346): OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
2. Microsoft IIS WebDAVサービスのScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269): Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
3. Apache Struts2におけるコンテンツ・タイプを利用したリモート・コード実行(CVE-2017-5638): Jakartaマルチパート・パーサを使用するApache Struts2に見つかったリモート・コード実行の脆弱性です。攻撃者は、ファイル・アップロード・リクエストの一部として無効なコンテンツ・タイプを送信することで、この脆弱性を悪用できます。脆弱性を悪用された場合、問題のシステムで任意のコードを実行されるおそれがあります。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
4月のマルウェア・ファミリー上位10種(https://blog.checkpoint.com/2019/05/13/april-2019s-most-wanted-malware-cybercriminals-up-to-old-trickbots-again/)の詳細なリストは、チェック・ポイントのブログでご確認ください。
チェック・ポイントの脅威対策に関する各種リソースについては、www.checkpoint.com/threat- prevention-resources/をご覧ください。
本リリースは、米国時間5月14日に配信されたものの抄訳です。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
米カルフォルニア州サンカルロス - 2019年5月14日--ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)の脅威情報部門であるCheck Point Researchは、2019年4月の『Global Threat Index(世界の脅威指標)』を発表しました。今月のランキングでは、バンキング型トロイの木馬Trickbotが、約2年ぶりにトップ10への返り咲きを果たしています。
Trickbotに代表される多目的のバンキング型トロイの木馬は、金銭的利益を目的とするサイバー犯罪者の間で広く使用されてきました。Trickbotを使用したキャンペーンは4月に入って急増しており、間もなく期限を迎える米国の個人確定申告に便乗したスパム・キャンペーンが複数確認されています。これらのスパム・キャンペーンで拡散している電子メールには、感染先のコンピュータにTrickbotをダウンロードするExcelファイルが添付されています。Trickbotはネットワーク全体に感染を広げ、銀行の口座情報を収集するほか、詐欺に利用できる税務書類の窃取を試みる場合もあります。
4月のランキング・トップ10のうち、トップ3はマイニング・ツールでしたが、残り7つはすべて多目的型のトロイの木馬でした。この結果は、複数の主要マイニング・サービスの閉鎖やここ1年間における仮想通貨の価値下落に伴い、より大きな金銭的利益を見込める攻撃手法にサイバー犯罪者が移行している可能性を示しています。
チェック・ポイントの脅威情報およびリサーチ担当ディレクターを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「今月のランキングでは、TrickbotとEmotetの両方がトップ10入りを果たしました。この動きが懸念されるのは、両者共に個人情報や認証情報を窃取するだけでなく、Ryukランサムウェアを拡散するように進化を遂げているためです。Ryukは、データベースやバックアップ・サーバなどのシステムのデータを暗号化して、最高で100万ドルを超える身代金を要求します。これらのマルウェアは常に進化を遂げているため、高度な脅威対策ソリューションを導入して、感染被害を防ぐ強固な防御体制を構築することが重要となります」と述べています。
2019年4月のマルウェア・ファミリー上位3種:
1. Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。元々はCoinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
2. XMRig: 仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
3. JSEcoin: Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
モバイル・マルウェア・ランキングでは、Hiddadに代わってTriadaが第1位となりました。第2位は前月に引き続きLootorが入り、Hiddadは第3位に順位を落としています。
2019年4月のモバイル・マルウェア上位3種:
1. Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装するタイプも確認されています。
2. Lotoor: Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
3. Hiddad: 正規のアプリを再パッケージしてサードパーティ・アプリ・ストアで公開するAndroidマルウェアです。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティ情報にアクセスできるため、機密性の高いユーザ・データを窃取されるおそれがあります。
チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。第1位は、世界の44%の組織に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩」です。第2位は、1年ぶりにトップから陥落したCVE-2017-7269、第3位はCVE-2017-5638となっています。それぞれ、40%の組織、38%の組織に影響を与えています。
2019年4月の脆弱性上位3種:
1. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346): OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
2. Microsoft IIS WebDAVサービスのScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269): Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
3. Apache Struts2におけるコンテンツ・タイプを利用したリモート・コード実行(CVE-2017-5638): Jakartaマルチパート・パーサを使用するApache Struts2に見つかったリモート・コード実行の脆弱性です。攻撃者は、ファイル・アップロード・リクエストの一部として無効なコンテンツ・タイプを送信することで、この脆弱性を悪用できます。脆弱性を悪用された場合、問題のシステムで任意のコードを実行されるおそれがあります。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
4月のマルウェア・ファミリー上位10種(https://blog.checkpoint.com/2019/05/13/april-2019s-most-wanted-malware-cybercriminals-up-to-old-trickbots-again/)の詳細なリストは、チェック・ポイントのブログでご確認ください。
チェック・ポイントの脅威対策に関する各種リソースについては、www.checkpoint.com/threat- prevention-resources/をご覧ください。
本リリースは、米国時間5月14日に配信されたものの抄訳です。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。