ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point® Software Technologies Ltd. NASDAQ: CHKP)は本日、2018年10月の『Global Threat Index(世界の脅威指標)』を発表しました。この最新のレポートによると、引き続きマイニング・ツールが上位を占める一方、リモート・アクセス型トロイの木馬(RAT)が初のトップテン入りしています。

この10月は、コンピュータの乗っ取りとデータの窃取を目的としたRAT「FlawedAmmyy」を拡散する大規模なマルウェア・キャンペーンが発生しました。同じRATを拡散するキャンペーンはこのところ多発していましたが、その最新版である10月のキャンペーンは過去最大の規模でした。このRATは、感染マシンのカメラやマイクへのフルアクセス、スクリーンショットの収集、認証情報や機密ファイルの窃取、ユーザの行動の監視などの機能を備えています。

FlawedAmmyyは、Global Threat Indexのランキングでトップテン入りを果たした初のRATです。

一方、ランキングの上位は引き続きマイニング・ツールが占めており、世界の18%の組織に影響したCoinhiveが第1位、8%の組織に影響したCryptolootがランクアップの形で第2位に入っています。

チェック・ポイントの脅威情報グループ・マネージャを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「今月は、ランキング史上初めてRATがトップテン入りを果たしました。このところ、FlawedAmmyy RATを拡散するキャンペーンは複数発生していましたが、この最新のキャンペーンは明らかに過去最大規模であり、広範囲に影響を及ぼしています。ランキングの上位は依然としてマイニング・ツールが占めているものの、FlawedAmmyyのトップテン入りは、ログイン認証情報や機密ファイル、金融情報/決済情報などのデータが、今もサイバー犯罪者にとって実入りのよいターゲットになっている可能性を示唆しています」と述べています。

2018年10月のマルウェア・ファミリー上位3種:
*矢印は前月からのランキングの変動を表しています。

  1. Coinhive – このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
  2. Cryptoloot – 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
  3. Dorkbot – リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。

モバイル・マルウェア・ランキングでは、Androidを標的とするモジュール型バックドアTriadaが第1位となりました。前回の第1位だった、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotは、第2位にランクダウンしています。第3位には、ランキングへのカムバックを果たしたHiddadが入りました。

2018年10月のモバイル・マルウェア上位3種:

  1. Triada – ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。
  2. Lokibot – 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
  3. Hiddad – 正規のアプリを再パッケージしてサードパーティ・アプリ・ストアで公開するAndroidマルウェアです。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティ情報にアクセスできるため、機密性の高いユーザ・データを窃取されるおそれがあります。

チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。第1位は前月に引き続き世界の48%の組織が影響を受けるCVE-2017-7269。これに46%のOpenSSL TLS DTLS Heartbeatにおける情報漏洩が続いています。3位は世界の42%の組織が影響を受けるWebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクションです。

2018年10月の脆弱性上位3種:

  1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) – Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。2017年3月からパッチが提供されています。
  2. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) – OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
  3. WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション – PHPMyAdminに見つかったコード・インジェクションの脆弱性です。この脆弱性は、PHPMyAdminの設定ミスに起因しています。リモートの攻撃者は、特別な細工を施したHTTPリクエストをターゲットに送りつけることで、この脆弱性を悪用できます。

チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。

10月のマルウェア・ファミリー上位10種の詳細なリストは、チェック・ポイントのブログでご確認ください。
チェック・ポイントの脅威対策に関する各種リソースについては、こちらをご覧ください。

 

本ブログは、米国時間11月12日に配信されたものの抄訳です。
英文オリジナルはこちらをご確認ください。