チェック・ポイントの最新のGlobal Threat Indexに基づく9月のマルウェア・ランキングでは、iPhoneユーザを狙ったマイニング・マルウェアが4倍近く 増加していることが報告されています。この変化が確認された9月後半には、ブラウザ「Safari」のユーザを狙った攻撃も大幅に増加しています。攻撃で利用されたマイニング・マルウェアのCoinhiveは1年前の2017年9月に初めて確認され、Global Threat Indexでは同年12月から現在まで1位の座を守り続けています。

マイニング攻撃は依然として支配的な脅威であり、世界中の組織のセキュリティを脅かしています。Appleのデバイスを狙った今回の攻撃では、新しい機能は何も使われていません。急激な増加の理由はいまだ明らかになっていませんが、見落とされがちながら、モバイル・デバイスは組織の中でも狙われやすい要素の1つであることに改めて気付かされました。モバイル・デバイスが組織のセキュリティのウィーク・ポイントにならないように、包括的な脅威対策ソリューションを導入して確実に保護することが重要です。

Coinhiveは現在、世界の19%の組織に被害をもたらしており、最新のThreat Indexでも複数のマイニング・ツールが上位に入っています。その一方で機密情報を窃取し、サービス妨害攻撃を仕掛けるトロイの木馬Dorkbotもいまだ有力な脅威であり、世界の7%の組織に被害を与え第2位の座を維持しています。

2018年9月のマルウェア・ファミリー上位10種:
*矢印は前月からのランキングの変動を表しています。

  1. Coinhive – このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
  2. Dorkbot – リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。
  3. Cryptoloot – 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
  4. Andromeda – 主にバックドアとして使用されるモジュール型のボットです。感染ホストに追加のマルウェアをダウンロードしますが、さまざまなタイプのボットネットを構築するように改変することも可能です。
  5. JSEcoin – Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
  6. Roughted – 不正なインターネット広告キャンペーンを大規模展開するRoughtedは、各種の不正なWebサイトの構築やペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)の配信に使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。
  7. Ramnit – バンキング型トロイの木馬です。銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。
  8. XMRig – XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
  9. Conficker – 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。
  10. Emotet – Emotetは、Windowsプラットフォームを標的とするトロイの木馬です。このマルウェアはシステムの情報を複数の制御用サーバに送信するほか、設定ファイルなどのコンポーネントをダウンロードすることもできます。報道によると、特定の銀行の顧客を対象に、各種のAPIをフックしてネットワーク・トラフィックを監視し、ログに記録しているようです。また、このマルウェアはレジストリにRunキーのエントリを作成し、システムが再起動したあとに自身が実行されるよう設定します。

今回も、組織のモバイル資産を狙った攻撃では、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotが最も多く検出され、次いでLotoor、Triadaという順になっています。

2018年9月のモバイル・マルウェア上位3種:

  1. Lokibot – 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
  2. Lotoor – Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
  3. Triada – ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。

チェック・ポイントの研究者は、最も悪用されている脆弱性も調査しています。その中で最も悪用件数が多かったのはCVE-2017-7269で、1位の座を7回連続で維持しており世界の組織の48%に影響を及ぼしています。次いで、43%に影響を与えたCVE-2016-6309、僅差で、42%に影響を与えた「WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション」という順になっています。

2018年9月の脆弱性上位3種:

  1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) – Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
  2. OpenSSL tls_get_message_body関数のinit_msg構造体における解放済みメモリ使用(CVE-2016-6309) – OpenSSLのtls_get_message_body関数に解放済みメモリ使用の脆弱性が見つかっています。認証を受けていないリモートの攻撃者は、特別な細工を施したメッセージを脆弱なサーバに送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、システム上で任意のコードを実行されるおそれがあります。
  3. WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション – PHPMyAdminに見つかったコード・インジェクションの脆弱性です。この脆弱性は、PHPMyAdminの設定ミスに起因しています。リモートの攻撃者は、特別な細工を施したHTTPリクエストをターゲットに送りつけることで、この脆弱性を悪用できます。

次の地図は、世界各地のリスク指標を示しています(緑 - 低リスク、赤 - 高リスク、灰色 - データ不足)。特にリスクの高い地域やマルウェア感染が多数発生している地域を確認できます。

 

 

チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスです。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。

 

チェック・ポイントの脅威対策に関する各種リソースについては、次のURLをご覧ください。
https://www.checkpoint.com/threat-prevention-resources/

本ブログは、米国時間10月15日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。