チェック・ポイント・リサーチ、2025年1月に最も活発だったマルウェアを発表 グローバルでFakeUpdatesの覇権が続く中、Androxgh0stが国内首位へ
チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
FakeUpdatesを活用したランサムウェア攻撃が続く一方で、サイバー犯罪者はAIを駆使して能力を強化
サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ(
Check Point(R) Software Technologies Ltd.、NASDAQ:CHKP、以下チェック・ポイント)の脅威インテリジェンス部門であるチェック・ポイント・リサーチ(Check Point Research、以下CPR)は、2025年1月の最新版Global Threat Index(世界脅威インデックス)を発表しました。この最新版レポートでは、FakeUpdatesが依然としてサイバー環境の重大な脅威であり、ランサムウェア攻撃の助長に重要な役割を果たしている点を焦点としています。
セキュリティリサーチャーによる
最近の調査で、RansomHubの関連組織がPythonベースのバックドアマルウェアを利用して持続的なアクセスを維持し、様々なネットワーク上にランサムウェアを展開していたことが明らかになりました。このバックドアマルウェアは、FakeUpdatesが最初にアクセスを獲得した直後にインストールされ、AIの支援によるコーディングパターンとともに高度な難読化技術を駆使しています。この攻撃には、RDP(リモートデスクトッププロトコル)を介した横方向の移動が含まれ、スケジュール済みタスクの作成によって継続的なアクセスを確立していました。
チェック・ポイントのリサーチ担当VPであるマヤ・ホロウィッツ(Maya Horowitz)は、次のように述べています。
「AIは、サイバー犯罪者の手口に急速な進化をもたらすことで、サイバー脅威環境を一変させました。AIの活用によって、サイバー犯罪者は手口の自動化と大規模化を実現し、能力を強化しています。このような脅威に効果的に対抗するために、組織は従来の防御策にとどまることなく、新たなリスクを予測する、プロアクティブで適応力の高いAI活用型のセキュリティ対策を導入する必要があります」
国内で活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
2025年1月に最も流行したマルウェアはAndroxgh0stで、国内企業の1.10%に影響を与えました。次いでRemcosが2024年11月から引き続き2位となりましたが、影響値は0.83%と低下しています。3位には影響値0.55%でLamer、AsyncRat、前月の国内ランク首位から順位を下げたFakeUpdatesが並びました。
1. ↑ Androxgh0st (1.10%) - Androxgh0stはパイソンベースのマルウェアで、AWS、Twilio、Office 365、SendGridなどのサービスに関するログイン認証情報など、機密情報を含む公開された.envファイルをスキャンすることで、Laravel PHPフレームワークを使用するアプリケーションを標的とします。ボットネットを利用してLaravelを実行しているウェブサイトを特定し、機密データを抽出することで動作します。アクセス権を獲得すると、攻撃者は追加のマルウェアの展開、バックドア接続の確立、暗号通貨マイニングなどの活動のためのクラウドリソースの悪用が可能になります。
2. ↔ Remcos(0.83%)- Remcosは2016年に初めて出現したリモートアクセス型トロイの木馬(RAT)で、スパムメールに添付された悪意あるMicrosoft Officeドキュメントを通じて展開します。WindowsのUACセキュリティを回避し、管理者権限でマルウェアを実行するように設計されています。
3. ↔ Lamer (0.55%) - Lamerはトロイの木馬型マルウェアで、気付かれることなく情報を窃取するなどの悪意ある目的でPCの防御を突破して侵入します。Lamerは、悪意あるスパムメールや感染ツールを通じて拡散します。
3. ↑ AsyncRat (0.55%) - AsyncRatは2019年に初めて確認されたリモートアクセス型トロイの木馬(RAT)で、Windowsのシステムを標的とします。システム情報を抜き出してコマンドアンドコントロールサーバーに送信し、プラグインのダウンロードやシステムの終了、スクリーンショットの撮影などのコマンドのほか、自身のアップデートのコマンドも実行します。多くの場合フィッシングキャンペーンを通じて配布され、データ窃取やシステムの侵害を目的として用いられます。
3. ↓ FakeUpdates(0.55%)- FakeUpdates、別名SocGholishは、2018年に初めて発見されたダウンローダー型マルウェアです。FakeUpdatesは、感染したウェブサイトや悪意あるウェブサイト上でのドライブバイダウンロードによって拡散され、ユーザーに偽のブラウザアップデートをインストールするよう促します。このマルウェアはロシアのハッキンググループEvil Corpと関連していると見られ、一次感染後に二次的なペイロードを配信するため使用されます。
グローバルで活発な上位のマルウェアファミリー
*矢印は、前月と比較した順位の変動を示しています。
2025年1月はFakeUpdatesがグローバルで最も流行したマルウェアとなり、全世界の組織の4%に影響を及ぼしました。続くFormbookとRemcosはともに影響値3%です。
1. ↔ FakeUpdates - FakeUpdates、別名SocGholishは、2018年に初めて発見されたダウンローダー型マルウェアです。FakeUpdatesは、感染したウェブサイトや悪意あるウェブサイト上でのドライブバイダウンロードによって拡散され、ユーザーに偽のブラウザアップデートをインストールするよう促します。このマルウェアはロシアのハッキンググループEvil Corpと関連していると見られ、一次感染後に二次的なペイロードを配信するため使用されます。
2. ↑ FormBook - FormBookは、主にWindowsシステムを標的とするインフォスティーラー型マルウェアで、2016年に初めて検出されました。このマルウェアは、様々なウェブブラウザからの認証情報の集積、スクリーンショットの収集、キーストロークの監視・記録を行うほか、追加のペイロードのダウンロードと実行が可能です。フィッシングキャンペーンや、電子メールの悪意ある添付ファイル、侵害されたウェブサイトを通じて拡散し、多くの場合、正規のファイルに偽装されています。
3. ↑ Remcos - Remcosは、2016年に初めて出現したリモートアクセス型トロイの木馬(RAT)で、多くの場合、フィッシングキャンペーンの悪意あるドキュメントを通じて配布されます。Remcosは、UACなどのWindowsのセキュリティ機構を回避し、上位の権限によってマルウェアを実行するため、脅威アクターにとって万能ツールとなっています。
モバイルマルウェアのトップ
2025年1月に最も流行したモバイルマルウェアのランキングでは、リモートアクセスとランサムウェアの機能で知られるAnubisが前月から続けて首位に立ちました。続く2位にはAhMythが順位を上げ、トロイの木馬ドロッパーのNecroは前月2位から順位を下げています。
1. ↔ Anubis - Anubisは、Androidデバイスを起源とする多機能なバンキング型トロイの木馬マルウェアで、多要素認証(MFA)のバイパス、キーログ、音声録音、ランサムウェアなど様々な機能を持っています。
2. ↑ AhMyth - AhMythはAndroidデバイスを標的とするリモートアクセス型トロイの木馬(RAT)で、正規のアプリに偽装されています。このマルウェアは、銀行の認証情報や多要素認証(MFA)コードなどの機密情報を流出させるために、広範な権限を取得します。
3. ↓ Necro - Necroは、作成者からのコマンドに基づいて有害なコンポーネントを取得・実行する、悪質なダウンローダーです。
世界的に最も攻撃されている業種、業界
2025年1月、世界的に最も攻撃されている業界は「教育・研究」で、6カ月連続でトップにランクインしました。2位は「政府・軍関係」、3位は「通信」でした。
- 教育・研究- 政府・軍関係- 通信
最も活発なランサムウェアグループ
二重脅迫の手法を駆使するランサムウェアグループが運営するリークサイト(Shame Sites)から得られたデータによると、1月に最も活発だったランサムウェアグループはClopであり、公表された攻撃のうち10%に関与していました。次いで多かったのはFunkSecで全体の8%に関与しており、3位はRansomHubで全体の7%を占めていました。
1. Clop - Clopは、2019年から活動しているランサムウェアで、世界中のあらゆる業界を標的にしています。身代金を支払わなければ盗んだデータを流出させるとして被害者を脅す「二重恐喝」を行います。
2. FunkSec - FunkSecは2024年12月に初めて出現した新興のランサムウェアグループで、ランサムウェアインシデントとデータ侵害を混合したデータリークサイトを運営しています。
3. RansomHub - RansomHubは、Knightランサムウェアのリブランド版として登場したRaaS(サービスとしてのランサムウェア)です。Windows、macOS、Linux、VMware ESXi環境のすべてを標的としていることで急速に知名度を得ました。
2025年1月には、DLS(データ漏洩サイト)を立ち上げた新たなグループBabuk Bjorkaが確認されました。同グループは複数の被害者をリストアップしているものの、その信憑性には疑問が持たれているため、同グループを当面リストから除外しています。CPRは今後も同グループの監視を続け、活動を確認できた場合には改めて最新情報を報告します。
国ごとの脅威インデックス
下の地図は、世界のリスク指数(濃い赤色ほどリスクが高い)を示したもので、主な高リスク地域が把握できます。
[画像:
https://prcdn.freetls.fastly.net/release_image/21207/371/21207-371-fee6bc18386509b46a3548d04991b7d7-720x472.png?width=536&quality=85%2C75&format=jpeg&auto=webp&fit=bounds&bg-color=fff ]
結論
サイバー脅威環境は依然として複雑さとダイナミズムを増しており、FakeUpdatesのようなマルウェアの存在は世界中の組織にとって引き続き深刻な課題となっています。こうした脅威が示す持続性と高度な機能は、堅固なサイバーセキュリティ対策と、警戒を保つことの必要性を強調しています。攻撃者は、高度な難読化やAIの支援によるコーディング、エクスプロイト戦略などを活用した手法を進化させています。そのため、企業や個人にとって、サイバー衛生と学習、包括的なセキュリティプロトコルの実装を優先することが非常に重要です。最新のマルウェアトレンドを理解し、新たな脅威に関する情報を常に得ることによって、組織は絶え間なく進化するデジタル環境において、資産の保護とリスクの低減をより十分な形で実現できます。
本プレスリリースは、米国時間2025年2月13日に発表された
ブログ(英語)をもとに作成しています。
Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ:
https://research.checkpoint.com/
X:
https://twitter.com/_cpresearch_
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(
https://www.checkpoint.com/)は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(
https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog:
https://blog.checkpoint.com
・Check Point Research Blog:
https://research.checkpoint.com/
・YouTube:
https://youtube.com/user/CPGlobal
・LinkedIn:
https://www.linkedin.com/company/check-point-software-technologies/
・X:
https://twitter.com/checkpointjapan
・Facebook:
https://www.facebook.com/checkpointjapan
将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書(フォーム20-F)を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp
プレスリリース提供:PR TIMES
記事提供:PRTimes
