チェック・ポイントの「Global Threat Index(グローバル脅威指標)」最新版によると、2017年8月にはバンキング型トロイの木馬が広く拡散しており、マルウェア・ファミリー上位10種の中に主要な亜種が3つもランクインしています。

それはZeus、Ramnit、およびTrickbotで、これらのトロイの木馬は、被害者が銀行のWebサイトにアクセスしたことを確認してから、キーロギングやWebインジェクションなどの手法を用いてログイン情報、またはPINコードなどもっとも機密性の高い情報を収集します。トロイの木馬では、銀行の偽のWebサイトに被害者を誘導するタイプも一般的です。実際のWebサイトを模したもので、認証情報を窃取することを目的としています。

今回の脅威指標では、ランサムウェアGlobeの亜種を偽装した「Globe Imposter」が、8月の時点で世界で2番目に広く拡散していることもわかりました。このマルウェアが発見されたのは今年の5月ですが、スパム活動や不正なインターネット広告、エクスプロイト・キットにより、8月になって急速に広まり始めました。Globe Imposterは暗号化したファイルに「.crypt」という拡張子を付け、その複合化と引き替えに身代金の支払いを要求します。

大多数のサイバー犯罪は金銭目的です。非常に効果的なランサムウェアの亜種と多様なバンキング型トロイの木馬がマルウェア・ファミリー上位10種にランクインしており、悪意のあるハッカーが高いスキルを駆使し、執拗に金銭をゆすり取ろうとしていることがわかります。



バンキング型トロイの木馬の過去数か月における活動の傾向

マルウェア・ファミリー上位10種:
*矢印は前月からの順位の変化を表しています。
RoughTedは8月も首位を維持しましたが、世界レベルでの影響力は低下し、全世界でこのマルウェアを検出した組織の割合は前月の18%から12%以下に減少しています。2位のGlobal Imposterの世界的な影響力は6%、3位のHacker Defenderは4%です。

1.↔ RoughTed – 不正なインターネット広告キャンペーンを大規模展開するRoughTedは、各種の不正なWebサイトへのリンクやペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)を提供します。標的のプラットフォームやオペレーティング・システムの種類を問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。

2.↑ Globe Imposter – Globeの亜種を偽装したランサムウェアです。2017年5月に発見されたもので、スパム活動や不正なインターネット広告、エクスプロイト・キットにより拡散されています。このランサムウェアで暗号化されたファイルには「.crypt」という拡張子が付きます。

3.↓ Hacker Defender – Windows向けのユーザ・モードrootkitです。ファイルやプロセス、レジストリ・キーを隠蔽するほか、既存のサービスが開いたTCPポートで動作するバックドアやポート・リダイレクタを設置します。このため、一般的な方法では、隠蔽されたバックドアは検出できません。

4.↓ Fireball – フル機能のマルウェア・ダウンローダへと拡張可能なブラウザ・ハイジャッカーです。感染マシン上で任意のコードを実行できるため、認証情報の窃取から別のマルウェアのドロップまで、さまざまな活動を行うことができます。

5.↔ Conficker – 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。

6.↑ Pushdo – システムに感染してスパム・モジュールのCutwailをダウンロードするトロイの木馬です。サードパティ製のマルウェアのインストールにも使用できます。

7.↔ Zeus – 「Man-in-the-Browser」攻撃やキー入力内容の記録やフォーム入力内容の取得といった「Man-in-the-Browser」攻撃をして、 口座情報を窃取するバンキング型トロイの木馬です。

8.↑ Ramnit –バンキング型トロイの木馬です。金融機関の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。

9.↑ Rig ek – 2014年に出現したエクスプロイト・キットで、Flash、Java、Silverlight、Internet Explorerを対象にしたエクスプロイトを提供します。感染プロセスは、ユーザをランディング・ページにリダイレクトするところから始まります。ランディング・ページには、脆弱なプラグインが存在するかどうかを確認するJavaScriptが含まれており、その結果に応じてエクスプロイトを送り込みます。

10.↑ Trickbot – Dyreの亜種として2016年10月に出現したバンキング型トロイの木馬です。ほとんどのバンキング型トロイの木馬は定期的に設定を更新しますが、Trickbotは被害者がWebサイトにアクセスしようとしたときに、指令(C&C)サーバからオンライン経由でWebインジェクションの命令を受け取ることができます。

HummingBadは2017年の上半期は毎月上位10種にランクインしていましたが、7月にトップ10から滑り落ち、8月に入っても復活を果たしていません。組織のモバイル資産をターゲットとするマルウェアの上位陣は、8月に入って変動がありました。3位だったTriadaが首位に昇り、2位、3位にHiddadとGooliganが続いています。

 

モバイル・マルウェア・ファミリー上位3種:

1.Triada - Androidデバイスに感染するモジュール型のバックドアです。ダウンロードしたマルウェアにスーパーユーザの権限を付与することで、そのマルウェアのシステム・プロセスへの組み込みを可能にします。ブラウザに読み込まれるURLを偽装するタイプも確認されています。

2.Hiddad – 正規のアプリを再パッケージしてサードパーティのアプリ・ストアで公開するAndroidマルウェアです。主な機能は広告の表示ですが、OSに組み込まれた重要なセキュリティ情報にアクセスできるため、機密性の高いユーザ・データを窃取されるおそれがあります。

3.Gooligan – デバイスをroot化し、保存されている電子メール・アドレスや認証トークンを窃取するAndroidマルウェアです。

 

この調査結果はサイバー脅威の世界がいかに多様で、流動性が高いかを物語っています。数か月前は圧倒的に優勢だったHummingBadですが、8月の統計ではトップ10に名前がありません。同様に、最近のサイバーセキュリティ関連のニュースはランサムウェアが多くを占めていますが、根強く生き残っているバンキング型トロイの木馬も再び勢いを取り戻しています。組織がこのような状況の変化を注視し、既知のマルウェア・ファミリーに対する防御を固めることも大切ですが、それと同時に新しい亜種やゼロデイの脅威に備えることも重要です。そのためには、絶えず進化を続ける多様な攻撃に対応できる、多層防御のサイバーセキュリティ戦略が欠かせません。たとえばチェック・ポイントのSandBlast™ Zero-Day ProtectionやSandBlast Mobileは、決して補足的な保護対策ではなく、進化を続ける脅威への対策として不可欠なソリューションです。

チェック・ポイントのグローバル脅威影響指標とThreatCloudマップの基盤となるのは、チェック・ポイントのThreatCloudの情報データベースです。ThreatCloudはサイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。

セキュリティ脅威や脅威対策の最新情報については、http://www.checkpoint.co.jp/threat-prevention-resources/をご覧ください。