Emotetボットネットのインフラストラクチャは、6月のほとんどの期間、活動を停止。ただし専門家は、新機能の追加に伴う一時的な休止と分析
カリフォルニア州サンカルロス - 2019年7月9日 - ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)の脅威情報部門であるCheck Point Researchは本日、2019年6月の『Global Threat Index(世界の脅威指標)』を発表しました。同チームによると、現在活動している中では最大規模のボットネットであるEmotetは、6月のほとんどの期間、活動を停止し、新たなキャンペーンを展開していませんでした。Emotetは、2019年上半期を通じてマルウェア・グローバル・ランキングのトップ5にランクインし続け、大規模スパム・キャンペーンで拡散されていました。
リサーチ・チームの分析によると、Emotetが活動を停止しているのは、メンテナンスおよびアップグレードのためにインフラストラクチャをオフラインにしていることが理由と考えられます。この分析が正しければ、インフラストラクチャの準備が整い次第、強力な新機能を備えたEmotetが活動を再開することになります。
チェック・ポイントの脅威情報およびリサーチ担当ディレクターを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「Emotetは、2014年の登場以来、しばらくの間はトロイの木馬として活動していましたが、2018年以降は、大規模なマルウェア・スパム・キャンペーンで他のマルウェアを拡散させるボットネットとして使用されるようになっています。Emotetは、6月のほとんどの期間、活動を停止していたにもかかわらず、今回もマルウェア・グローバル・ランキングの第5位にランクインしています。この点からも、同マルウェアが極めて広範囲に感染を広げている事実がうかがえます。Emotetはおそらく、新機能を携えて再登場することになるでしょう」と述べています。
「コンピュータにインストールされたEmotetは、さらなるスパム・キャンペーンで自身を拡散させるほか、Trickbotなどのマルウェアをダウンロードしてネットワーク内の他のシステムに感染を広げます。なお、このTrickbotは、特に悪質なことで知られるランサムウェアのRyukをネットワーク全体に感染させるという活動を展開します」(ホロウィッツ)
2019年6月のマルウェア・ファミリー上位3種:
2019年6月のランキング上位は、引き続き3大マイニング・ツールが占めています。世界の4%の組織に影響を与えたXMRigが第1位、次いで3%の組織に影響を与えたJsecoinとCryptolootが僅差の第2位と第3位に入っています。
1. XMRig: 仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
2. JSEcoin: Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
3. Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
2019年6月のモバイル・マルウェア上位3種:
モバイル・マルウェア・ランキングは、前月に続きLotoorが第1位となり、Triadaが第2位、そして初のランクインとなるZtorgが第3位という結果になっています。
1. Lotoor: Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
2. Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装するタイプも確認されています。
3. Ztorg: Androidデバイスで権限を昇格させ、システム・ディレクトリに自身を組み込むZtorgファミリーのトロイの木馬です。感染デバイス上に別のアプリケーションをインストールする機能を備えています。
2019年6月の脆弱性上位3種:
2019年6月は、前月に引き続き、世界の52%の組織に影響を与えたSQLインジェクションが第1位となっています。続いて、43%の組織に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩」が第2位、41%に影響を与えたCVE-2015-8562が僅差の第3位となっています。
1. SQLインジェクション(複数の手法): クライアントからアプリケーションへの入力データにSQLクエリを挿入し、アプリケーションのソフトウェアに存在する脆弱性を悪用します。
2. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346): OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
3. Joomlaにおけるオブジェクト・インジェクションによるリモート・コマンド実行(CVE-2015-8562): Joomlaプラットフォームに発見されたリモート・コマンド実行の脆弱性です。この脆弱性の原因は、入力オブジェクトに対する検証が行われない点にあり、悪用された場合はリモートでコードを実行されるおそれがあります。リモートの攻撃者は、不正なリクエストを標的に送りつけることで、この脆弱性を悪用できます。脆弱性の悪用に成功した場合、標的のユーザのコンテキストで任意のコードを実行できます。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
本リリースは、米国時間7月9日に配信されたものの抄訳です。
■Check Point Researchについて
Check Point Researchは、チェック・ポイントの顧客やインテリジェンス・コミュニティ全般に向けて、業界有数のサイバー脅威情報を提供しています。世界中で発生しているサイバー攻撃に関する情報をThreatCloudに蓄積して分析し、ハッカーを追跡しながら、チェック・ポイントの各製品に搭載される最新の保護機能の開発に携わっています。Check Point Researchは、セキュリティ・ベンダー各社や捜査当局、各種CERTと協調する100人以上のアナリストと研究者で構成されています。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
カリフォルニア州サンカルロス - 2019年7月9日 - ゲートウェイからエンドポイントまで、包括的セキュリティを提供するチェック・ポイント・ソフトウェア・テクノロジーズ(Check Point(R) Software Technologies Ltd. NASDAQ: CHKP)の脅威情報部門であるCheck Point Researchは本日、2019年6月の『Global Threat Index(世界の脅威指標)』を発表しました。同チームによると、現在活動している中では最大規模のボットネットであるEmotetは、6月のほとんどの期間、活動を停止し、新たなキャンペーンを展開していませんでした。Emotetは、2019年上半期を通じてマルウェア・グローバル・ランキングのトップ5にランクインし続け、大規模スパム・キャンペーンで拡散されていました。
リサーチ・チームの分析によると、Emotetが活動を停止しているのは、メンテナンスおよびアップグレードのためにインフラストラクチャをオフラインにしていることが理由と考えられます。この分析が正しければ、インフラストラクチャの準備が整い次第、強力な新機能を備えたEmotetが活動を再開することになります。
チェック・ポイントの脅威情報およびリサーチ担当ディレクターを務めるマヤ・ホロウィッツ(Maya Horowitz)は、「Emotetは、2014年の登場以来、しばらくの間はトロイの木馬として活動していましたが、2018年以降は、大規模なマルウェア・スパム・キャンペーンで他のマルウェアを拡散させるボットネットとして使用されるようになっています。Emotetは、6月のほとんどの期間、活動を停止していたにもかかわらず、今回もマルウェア・グローバル・ランキングの第5位にランクインしています。この点からも、同マルウェアが極めて広範囲に感染を広げている事実がうかがえます。Emotetはおそらく、新機能を携えて再登場することになるでしょう」と述べています。
「コンピュータにインストールされたEmotetは、さらなるスパム・キャンペーンで自身を拡散させるほか、Trickbotなどのマルウェアをダウンロードしてネットワーク内の他のシステムに感染を広げます。なお、このTrickbotは、特に悪質なことで知られるランサムウェアのRyukをネットワーク全体に感染させるという活動を展開します」(ホロウィッツ)
2019年6月のマルウェア・ファミリー上位3種:
2019年6月のランキング上位は、引き続き3大マイニング・ツールが占めています。世界の4%の組織に影響を与えたXMRigが第1位、次いで3%の組織に影響を与えたJsecoinとCryptolootが僅差の第2位と第3位に入っています。
1. XMRig: 仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
2. JSEcoin: Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
3. Cryptoloot: 被害者のCPUやGPUの処理能力に加え、既存のコンピュータ・リソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
2019年6月のモバイル・マルウェア上位3種:
モバイル・マルウェア・ランキングは、前月に続きLotoorが第1位となり、Triadaが第2位、そして初のランクインとなるZtorgが第3位という結果になっています。
1. Lotoor: Androidオペレーティング・システムの脆弱性を悪用し、感染モバイル・デバイスのroot権限を取得するハッキング・ツールです。
2. Triada: ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装するタイプも確認されています。
3. Ztorg: Androidデバイスで権限を昇格させ、システム・ディレクトリに自身を組み込むZtorgファミリーのトロイの木馬です。感染デバイス上に別のアプリケーションをインストールする機能を備えています。
2019年6月の脆弱性上位3種:
2019年6月は、前月に引き続き、世界の52%の組織に影響を与えたSQLインジェクションが第1位となっています。続いて、43%の組織に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩」が第2位、41%に影響を与えたCVE-2015-8562が僅差の第3位となっています。
1. SQLインジェクション(複数の手法): クライアントからアプリケーションへの入力データにSQLクエリを挿入し、アプリケーションのソフトウェアに存在する脆弱性を悪用します。
2. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346): OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して、接続しているクライアントまたはサーバのメモリの内容を入手できます。
3. Joomlaにおけるオブジェクト・インジェクションによるリモート・コマンド実行(CVE-2015-8562): Joomlaプラットフォームに発見されたリモート・コマンド実行の脆弱性です。この脆弱性の原因は、入力オブジェクトに対する検証が行われない点にあり、悪用された場合はリモートでコードを実行されるおそれがあります。リモートの攻撃者は、不正なリクエストを標的に送りつけることで、この脆弱性を悪用できます。脆弱性の悪用に成功した場合、標的のユーザのコンテキストで任意のコードを実行できます。
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloud脅威インテリジェンスの情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを観測、認識しています。
本リリースは、米国時間7月9日に配信されたものの抄訳です。
■Check Point Researchについて
Check Point Researchは、チェック・ポイントの顧客やインテリジェンス・コミュニティ全般に向けて、業界有数のサイバー脅威情報を提供しています。世界中で発生しているサイバー攻撃に関する情報をThreatCloudに蓄積して分析し、ハッカーを追跡しながら、チェック・ポイントの各製品に搭載される最新の保護機能の開発に携わっています。Check Point Researchは、セキュリティ・ベンダー各社や捜査当局、各種CERTと協調する100人以上のアナリストと研究者で構成されています。
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供する大手プロバイダーです。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたる第5世代のサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を、今日の第5世代のサイバー攻撃を含めてあらゆる脅威から保護するため、第5世代の脅威に対応するマルチレベルのセキュリティ・アーキテクチャを備え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。
