マイニング・ツールのXMRigを拡散する新たなLinuxバックドア「SpeakUp」の検出数が急増
米カルフォルニア州サンカルロス - 2019年2月13日--ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)は本日、2019年1月の『Global Threat Index(世界の脅威指標)』を発表しました。この最新のレポートによると、Linuxサーバに感染し、マイニング・ツールのXMRigを拡散する新たなトロイの木馬が出現しています。SpeakUpと名付けられたこのマルウェアは、感染マシンに任意のペイロードをダウンロードして実行する機能を備えています。
SpeakUpは、現時点で全セキュリティ・ベンダーのアンチウイルス・ソフトウェアをすり抜けます。このトロイの木馬は、指令センターからの命令に従って一連の脆弱性(脆弱性悪用ランキング第8位の「HTTP経由のコマンド・インジェクション」など)を悪用し、感染を広げています。チェック・ポイントの研究者は、あらゆるマルウェアのダウンロードと拡散に利用できるSpeakUpを深刻な脅威であると見ています。
2019年1月のマルウェア・ファミリー上位10種では、1位から4位までをマイニング・ツールが占めました。世界中の組織の12%に影響を与えたCoinhiveが引き続き第1位となっています。第2位には、8%の組織に影響を与えたXMRigが同じく前月に引き続きランクイン、第3位は、6%の組織に影響を与えたCryptolootとなっています。1月のランキングには、4つのマイニング・ツールがランクインしていますが、トップ10のうち半数のマルウェアは、感染マシンに別のマルウェアをダウンロードする機能を備えています。
チェック・ポイントの脅威情報グループ・マネージャを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「1月のランキングでは、世界中の組織を狙ったマルウェアの動向にほとんど変化がありません。しかしマルウェアの拡散手法に関しては、新たな方法が登場しつつあります。このような現象は、今後、より深刻な脅威が出現する前触れでもあります。SpeakUpのようなバックドアは、検出を免れたうえで、さらに危険性の高いマルウェアを感染マシンにダウンロードします。Linuxは企業環境のサーバとして広く使用されているため、SpeakUpは今後さらに感染が増加し、深刻な被害をもたらすものと予想されます」と述べています。
2019年1月のマルウェア・ファミリー上位3種:
*矢印は前月からのランキングの変動を表しています。
1. Coinhive: このマイニング・ツールはユーザがWebページを訪れたときに、通知や同意を得たりすることなく、そのユーザのコンピュータ・リソースを利用して仮想通貨Moneroの採掘を行います。ページに埋め込まれているJavaScriptがエンドユーザのマシンの処理能力を大量消費してコインを採掘するため、システムがクラッシュする場合もあります。
2. XMRig: XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
3. Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
モバイル・マルウェア・ランキングでは、ダウンロードしたマルウェアに権限を付与するAndroid向けのモジュール型バックドアHiddadが、Triadaに代わって第1位となりました。第2位にはLotoorがランクインし、Triadaは第3位に順位を落としています。
2019年1月のモバイル・マルウェア上位3種:
1. Hiddad: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。
2. Lotoor: Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
3. Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装するタイプも確認されています。
チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。第1位は、前月に引き続き、世界の47%の組織に影響を与えたCVE-2017-7269です。これに続いて、46%の組織に影響を与えた「Webサーバ上のGitリポジトリにおける情報漏洩」、45%の組織に影響した「OpenSSL TLS DTLS Heartbeatにおける情報漏洩」がそれぞれ僅差で第2位、第3位となっています。
2019年1月の脆弱性上位3種:
1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) - Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
2. Webサーバ上のGitリポジトリにおける情報漏洩 - Gitリポジトリに見つかった情報漏洩の脆弱性です。この脆弱性を悪用された場合、アカウント情報が意図せず漏洩する可能性があります。
3. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) - OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
1月のマルウェア・ファミリー上位10種の詳細なリストは、チェック・ポイントのブログでご確認ください。
http://blog.checkpoint.com/2019/02/13/january-2019s-most-wanted-malware-a-new-threat-speakup-linux-crypto-cryptomining/
チェック・ポイントの脅威対策に関する各種リソースについては、www.checkpoint.com/threat- prevention-resources/をご覧ください。
本リリースは、米国時間2月13日に配信されたものの抄訳です。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
米カルフォルニア州サンカルロス - 2019年2月13日--ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)は本日、2019年1月の『Global Threat Index(世界の脅威指標)』を発表しました。この最新のレポートによると、Linuxサーバに感染し、マイニング・ツールのXMRigを拡散する新たなトロイの木馬が出現しています。SpeakUpと名付けられたこのマルウェアは、感染マシンに任意のペイロードをダウンロードして実行する機能を備えています。
SpeakUpは、現時点で全セキュリティ・ベンダーのアンチウイルス・ソフトウェアをすり抜けます。このトロイの木馬は、指令センターからの命令に従って一連の脆弱性(脆弱性悪用ランキング第8位の「HTTP経由のコマンド・インジェクション」など)を悪用し、感染を広げています。チェック・ポイントの研究者は、あらゆるマルウェアのダウンロードと拡散に利用できるSpeakUpを深刻な脅威であると見ています。
2019年1月のマルウェア・ファミリー上位10種では、1位から4位までをマイニング・ツールが占めました。世界中の組織の12%に影響を与えたCoinhiveが引き続き第1位となっています。第2位には、8%の組織に影響を与えたXMRigが同じく前月に引き続きランクイン、第3位は、6%の組織に影響を与えたCryptolootとなっています。1月のランキングには、4つのマイニング・ツールがランクインしていますが、トップ10のうち半数のマルウェアは、感染マシンに別のマルウェアをダウンロードする機能を備えています。
チェック・ポイントの脅威情報グループ・マネージャを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「1月のランキングでは、世界中の組織を狙ったマルウェアの動向にほとんど変化がありません。しかしマルウェアの拡散手法に関しては、新たな方法が登場しつつあります。このような現象は、今後、より深刻な脅威が出現する前触れでもあります。SpeakUpのようなバックドアは、検出を免れたうえで、さらに危険性の高いマルウェアを感染マシンにダウンロードします。Linuxは企業環境のサーバとして広く使用されているため、SpeakUpは今後さらに感染が増加し、深刻な被害をもたらすものと予想されます」と述べています。
2019年1月のマルウェア・ファミリー上位3種:
*矢印は前月からのランキングの変動を表しています。
1. Coinhive: このマイニング・ツールはユーザがWebページを訪れたときに、通知や同意を得たりすることなく、そのユーザのコンピュータ・リソースを利用して仮想通貨Moneroの採掘を行います。ページに埋め込まれているJavaScriptがエンドユーザのマシンの処理能力を大量消費してコインを採掘するため、システムがクラッシュする場合もあります。
2. XMRig: XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
3. Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
モバイル・マルウェア・ランキングでは、ダウンロードしたマルウェアに権限を付与するAndroid向けのモジュール型バックドアHiddadが、Triadaに代わって第1位となりました。第2位にはLotoorがランクインし、Triadaは第3位に順位を落としています。
2019年1月のモバイル・マルウェア上位3種:
1. Hiddad: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。
2. Lotoor: Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
3. Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装するタイプも確認されています。
チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。第1位は、前月に引き続き、世界の47%の組織に影響を与えたCVE-2017-7269です。これに続いて、46%の組織に影響を与えた「Webサーバ上のGitリポジトリにおける情報漏洩」、45%の組織に影響した「OpenSSL TLS DTLS Heartbeatにおける情報漏洩」がそれぞれ僅差で第2位、第3位となっています。
2019年1月の脆弱性上位3種:
1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) - Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
2. Webサーバ上のGitリポジトリにおける情報漏洩 - Gitリポジトリに見つかった情報漏洩の脆弱性です。この脆弱性を悪用された場合、アカウント情報が意図せず漏洩する可能性があります。
3. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) - OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
1月のマルウェア・ファミリー上位10種の詳細なリストは、チェック・ポイントのブログでご確認ください。
http://blog.checkpoint.com/2019/02/13/january-2019s-most-wanted-malware-a-new-threat-speakup-linux-crypto-cryptomining/
チェック・ポイントの脅威対策に関する各種リソースについては、www.checkpoint.com/threat- prevention-resources/をご覧ください。
本リリースは、米国時間2月13日に配信されたものの抄訳です。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
