2016年6月のマルウェア・ファミリー上位10種

チェック・ポイントは本日、「Threat Index(脅威指標)」の最新版を発表しました。この最新のThreat Indexより、企業ネットワークやモバイル・デバイスを狙う脅威の増加に伴って、2016年上半期にアクティブなマルウェア・ファミリーが60%以上増えている事実が明らかになっています。

6月には、企業ネットワークを攻撃する2,420種類のアクティブなマルウェア・ファミリーが確認されました。この数字は、2016年1月時点と比較して61%、同年4月比では21%の増加となります。 アクティブなマルウェアの亜種が継続的に増加している結果から、組織のネットワークが多種多様な脅威にさらされており、重要なビジネス情報を保護するうえでさまざまな課題への対処が求められている点が改めて浮き彫りになっています。

6月に最も広く利用されたマルウェアは引き続きConfickerでしたが、注目すべきはモバイル・マルウェア「HummingBad」です。全プラットフォームかつ全世界を対象とするこの総合ランキングでトップ3に返り咲いています。チェック・ポイントが発表した詳細な調査レポートでは、HummingBadに感染したデバイスが全世界で8,500万台に達しており、その背後に潜む攻撃者が仕掛けた詐欺広告による収益は月あたり約30万ドルに上ると算出しています。この事実からも、モバイル・デバイスをターゲットとする攻撃が増えている実態が読み取れます。

前月に続いて最も多く検出されたマルウェアはConfickerで、全体の14%を占めています。次いで10%を占めたSality、6%のHummingBadが続きました。検出されたマルウェア・ファミリーの内訳を見ると、トップ10にランクインしたファミリーが全体の50%を占めています。

2016年6月のWorld Cyber Threat Map - 画像をクリックしてインタラクティブなライブ・マップを表示

このマップは、全世界のリスク状況を表します。緑 = 低リスク、ベージュ = 中リスク、赤 = 高リスク、白 = データ不十分

2016年6月のマルウェア・ファミリー上位10種

  1. ↔ Conficker – Microsoft Windowsシステムのセキュリティ・サービスを無効にして、感染マシンの遠隔操作やマルウェアの追加ダウンロード、認証情報の窃取を可能にするワームです。Confickerの感染マシンはボットネットの一部となり、指令(C&C)サーバから命令を受け取ります。
  2. ↑ Sality – Microsoft Windowsシステムに感染し、感染マシンの遠隔操作とマルウェアの追加ダウンロードを可能にするウイルスです。その複雑さと適応能力から、史上最強のマルウェアの1つであると見なされています。
  3. ↑ Hummingbad – モバイル・デバイスに永続的なrootkitを組み込み、詐欺的なアプリをインストールするAndroidマルウェアです。キーロガーのインストールや認証情報の窃取、ユーザが導入した電子メール暗号化機能の回避も可能とします。現在までに、8,500万台のモバイル・デバイスに感染しています。
  4. ↑ Zeus – Windowsプラットフォームに感染するトロイの木馬で、多くの場合「Man-in-the-Browser」攻撃やキー入力内容の記録、フォーム入力内容の取得により、金融機関情報を盗み出す目的で使用されます。
  5. ↑ Cutwail – スパム・メールの送信を中心に、一部のDDoS攻撃でも使用されるボットネットです。インストールされたボットはC&Cサーバと直接通信し、送信すべき電子メールに関する命令を受け取ります。目的を達成した後は、自身の活動に関する正確な情報をスパム業者に送り返します。
  6. ↔ Zeroaccess – Windowsプラットフォームに感染するワームで、感染マシンの遠隔操作とマルウェアの追加ダウンロードを可能にします。ピアツーピア(P2P)プロトコルを使用して、リモートのピアから追加のマルウェア・コンポーネントやアップデートをダウンロードします。
  7. ↓ JBossjmx – 脆弱なバージョンのJBoss Application Serverがインストールされているシステムに感染するワームです。JMXコンソールの脆弱性CVE-2010-0738を悪用し、脆弱なシステム上で不正なJSPページを作成して任意のコマンドを実行します。また、リモートのIRCサーバから指令を受け取るバックドアも作成されます。
  8. ↑ Dorkbot – リモート・コード実行に加え、感染システムへのマルウェアの追加ダウンロードを可能にするIRCベースのワームで、機密情報の窃取とサービス妨害攻撃の実行を主な目的としています。ユーザ・モードのrootkitをインストールして自身のファイルの表示や変更を阻止するとともに、レジストリを改ざんしてシステムが起動するたびに実行されるようにします。感染ユーザのアドレス帳内のすべてのユーザに、自身のコピーへのリンクを記載したメッセージを送信、または既存のスレッドを乗っ取ってリンクを追加します。
  9. ↓ Tinba – ユーザが銀行のWebサイトにログインしている時点で活動を開始し、Webインジェクションによりユーザの認証情報を窃取するバンキング型トロイの木馬です。
  10. ↑ Cryptodef – 悪名高いランサムウェア「Cryptowall」の前身と考えられているランサムウェアです。テキストや文書、画像、動画などの非バイナリ形式のユーザ・ファイルを暗号化します。続いて、ファイルを復号化する手順を記載したテキスト・ファイルを表示し、復号化のための「身代金」を支払うよう要求します。通常はマシン上にインストールされている他のマルウェアによってドロップされるか、ユーザが不正または感染サイトを閲覧している際に直接ダウンロードされます。

Check Point Threat Indexについて

Check Point Threat Indexは、世界各地におけるリアルタイムのサイバー攻撃発生状況を追跡するThreatCloud World Cyber Threat Mapの脅威インテリジェンスに基づいて算出されています。Threat Mapのベースとなるのは、サイバー犯罪阻止を目的とした業界最大規模の協調型ネットワークCheck Point ThreatCloudTMです。世界規模の脅威センサー・ネットワークから収集された脅威インテリジェンスや攻撃動向を配信する ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。