ウェブルート「最も危険なマルウェア2020」を発表

11月26日(木)18時46分 PR TIMES

〜新型コロナを便乗する脅威が多数浮上〜

10年以上にわたるAI(人工知能)/機械学習を用いたセキュリティサービスで、業界をリードするウェブルート株式会社 (本社:東京都千代田区、 代表取締役社長:伊藤 誉三、以下:ウェブルート)は毎年恒例となる「最も危険なマルウェア2020」を公発表いたしました。発表によるとフィッシングやボットネットの攻撃、ランサムウェアが2020年の最も悪質なサイバーセキュリティ脅威となっています。何百人もの人が仕事や生活の様式を変えざるを得なくなっている中、サイバー犯罪者が新型コロナウイルスの感染拡大に乗じ、古い手口を再利用する方法を見つけようとしていることは当然と言えるでしょう。

インフォグラフィック:https://www.webroot.com/download_file/4163

ウェブルートが発表した「最も危険なマルウェア2020」には以下のようなものが挙げられます。

フィッシング
フィッシングはマルウェアキャンペーンの最も有効な手口であり、数十年前、初めて登場して以来、サイバー犯罪者内の手口として増加する一方です。多くの感染例では、被害者をフィッシングに引っかけることが第一段階となっており、そこから重要な証明書が窃取されます。そして悪意あるペイロードがPCに侵入し、最終的にランサムウェアに感染します。今年は、新型コロナウイルス感染拡大がもたらした通常とは異なる状況に乗じる脅威が多くみられました。マルウェアで使用される、悪意あるスパムメール(マルスパム)のフィッシングルアーのほぼすべてがCOVID-19に基づいています。具体的には当社で確認したものには以下のようなものがあります。


米国疾病予防管理センター(CDC)/ 世界保健機関(WHO)の新型コロナウイルスに関するガイドライン –自己隔離のルールや健康・安全に関する情報を含んでいるとされる、政府や保健当局からの虚偽発表。
居住地周辺の新型コロナウイルスの新規感染例の最新リスト – このような偽情報によるパンデミックは、大きな恐怖と緊張感をもたらし、被害者の警戒心を解き、詐欺に引っかかりやすくしているのです。
新型コロナウイルスの経済対策の偽申し込みフォーム」 – 経済対策発表前、多くの人は、補助金の受け取り方法について興味を持っていました。政府が第二弾の経済策を承認すれば、第二の波もやって来るでしょう。



ランサムウェア
ランサムウェアは2020年もとどまるところを知りません。その大きな原因は新型コロナウイルスというサイバー犯罪者にとって大きな機会があったことが考えられます。医療機関や自治体、教育機関まで、目立った攻撃がいくつかありました。ランサムウェアは被害者のファイルを暗号化した後、アクセス回復のための身代金を要求してきます。2020年には、ランサムウェアグループが「リークサイト」を立ち上げ、被害者が支払いを拒否した場合にそこで機密データを晒したり、オークションにかけたりするという新たなトレンドが浮上しました。以下が危険なランサムウェアの脅威トップ3です。


Conti/Ryuk – FBIは2019年、最も成功したランサムウェアとしてRyukを挙げました。Ryukの第2のバージョンは「Conti」と改名していますが、これはランサムウェアの作成者が注意をそらすためによくとる手段です。当社はContiがRDP(リモートデスクトッププロトコル)から展開されていることを確認していますが、それはRDP経由の総当たり攻撃ではなく、フィッシングされたり盗まれたり情報で展開しているようです。(TrickBotやQakBot その他のトロイの木馬で取得されたと見られ、これら自体もEmotetに最初に感染した後に投下されました)。これらのランサムウェアの作成者も、確実に身代金を支払わせるため、窃取したデータを自分たちのリーク/オークションサイトで晒すと脅します。
Sodinokibi/REvil/Gandcrab – GandCrabやSodinokibi、REvilはすべて、正体は同じランサムウェアです。このランサムウェアサービス(RaaS)のペイロード(悪意コードの指示)は 、獲得した身代金の一部を作成者が受け取れる限り、誰でも使用可能です。
Crysis/Dharma/Phobos – これらのランサムウェアサービス(RaaS)のペイロードは、総当たり方式もしくは簡単な推測で侵害されたRDP証明書経由で展開されていることがほとんどです。当社は、これらのランサムウェア同士を同一のマルウェア作成者グループによる複製されたものと考えており、ペイロードは利用料をお支払いことで誰でも利用できます。新型コロナウイルス感染拡大の期間中は安全ではないRDPが広範囲で増えており、それに乗じたペイロードも同じように増えています。RDP攻撃においても、ペイロードをダウンロードさせるためのフィッシング攻撃に引っかかる被害者を必要としないという点で、あくまで犯罪者にとっての利点が生まれているのです。


ボットネット
およびトロイの木馬ボットネットは、セキュリティ環境において支配的な脅威であり続けています。ボットネットはランサムウェアの成功にとって欠かせないもので、以下に挙げる上位の脅威の多くが、上位のランサムウェアと密接なつながりを持っています。ボットネットは悪意あるスパムメールキャンペーンの大部分の元凶であり、ユーザーがメールをクリックして自ら感染すると、その環境に足場を築きます。その結果、ランサムウェアのペイロードは可能な限りの最大限の被害をもたらします。最も危険なボットネットとトロイの木馬の脅威には以下のようなものがあります。

Emotet – Emotetボットネットが、最も危険な脅威として3年連続で活動を続けています。これは大部分のランサムウェア感染の原因であり、とても厄介な存在となっています。Emotetは今年、ロックダウン中に、新型コロナウイルス感染拡大をテーマとした新たなフィッシングキャンペーンとともに再登場しました。多くのスパム対策技術を回避して受信箱に入り込む能力により、TrickBotやDridex、QakBot、Conti/Ryuk、BitPaymer、REvilなどの他のマルウェアグループと最大の連係をはかっている可能性があります。
TrickBot – この人気のバンキング/情報搾取型トロイは以前、Webインジェクトにより証明書を盗み、利益を上げていました。今ではアップグレードされEmotetの第2段階として展開されることが多くなり、Conti/Ryukといったランサムウェアにつながっています。しかし、今年はEmotetを伴わない事例も見受けられます。TrickBotは一度PCに入り込むと、突破口を使ってネットワークを縦に移動して伝播し、できる限り多くの証明書を集めます。ドメイン証明書を手に入れるまで、何週間も何か月もかけることもしばしばです。その後は、感染を引き起こした犯罪者がネットワーク環境を完全に掌握します。そして防御を解除し、ランサムウェアを展開した際に最大の被害を与えられるようにします。
Dridex – 長年稼働しているバンキング/情報搾取型トロイの1種として非常に人気のDridexは通常、BitPaymer/DoppelPaymerといったランサムウェアを展開します。Emotetを経由したり、作成者自身の悪意あるスパムキャンペーンにより投下されます。TrickBotと同様に縦方向に広がってドメイン証明書を盗もうとし 、遭遇したPCごとにDridexローダーを投下します。そして監視網にかからないように潜伏し、ドメイン証明書の取得に成功するまで情報を盗み続もうとします。Dridexの場合も、悪意ある攻撃者がドメイン証明書を使って防御を解除し、ランサムウェアで特定のシステムを狙って最大の被害をもたらすことが可能となります。


モバイルの脅威
2020年は予期せぬ形でモバイルの脅威が増え、今年のリストで「特別賞」に輝きました。その多くが新型コロナウイルスの追跡アプリを装い、パンデミックがもたらした恐怖を餌食にしています。アプリのユーザー補助機能を悪用してユーザー情報を盗むものもあります。最も危険なモバイル脅威には以下のようなものがあります。

Joker – Jokerは2019年に登場したばかりですが、今年は人気がうなぎのぼりとなり、Google™ Play Storeにより頻繁に登場するようになりました。他のアプリを起動させ、クレジットカード情報やバンキングの証明書を盗もうとします。
CryCryptor – 今年発見されたばかりのこのモバイルランサムウェアは、オープンソースのランサムウェア「CryDroid」を元に作成されており、新型コロナ追跡アプリへの偽装が確認されています。
EventBot – Bankerの変種で2020年も確認されているEventBotは、ユーザー補助機能を利用してユーザーデータを盗みます。そしてショートメッセージを読んで盗むことで2段階認証を回避します。
Dingwe – 初期のAndroid™ 遠隔アクセスコントツール(RAT)であるDingweは改修され、2020年に再度見つかりました。機器を遠隔制御でき、新型コロナウイルス追跡アプリのふりをしている事例が多く見つかっています。


コメント – ウェブルート・セキュリティアナリスト、タイラー・モフィット
「2020年は変化の年ですが、変わらないことがひとつあります。それはサイバー犯罪者が従来と同じ手法に頼り、金銭的な『うまみ』を確保しようとしていることです。なぜなら、犯罪者たちは成功し続けているからです。パンデミックが原因でオンラインユーザーにとっては気が散る要素が増え、カジュアルさを増したリモートワーク環境において、懐疑心が全体的に小さくなりました。このような脆弱性はサイバー犯罪者に機会を提供しており、手遅れになる前に、人や機器、クラウドのサイバーレジリエンスを優先することがますます重要となっています」

ウェブルートについて
ウェブルートは、OpenText社の傘下の会社であり、ゼロデイ攻撃の脅威をリアルタイムに対策するためにクラウドおよび AI (人工知能) を取り入れた世界で初めてのサイバー セキュリティ会社です。ウェブルートでは、脅威インテリジェンスとエンドポイント/ネットワーク防御によって世界中の企業や個人の安全のセキュリティ ソリューションを提供しています。ウェブルートは2019年に、親会社のCarbonite社と共に、エンタープライズ情報管理の世界的リーダーであるOpenTextに買収されました。3社は共にサイバーレジリエンスの市場リーダーとして、あらゆる規模の企業に対しサイバー被害からの総合的なエンドポイントの保護および復旧を提供しています。ウェブルートは米国Carbonite, Inc.の一員として、米国コロラド州を拠点とし、北米、ヨーロッパ、アジア地域においてグローバルなビジネスを展開しています。Webrootが提供するSmarter Cybersecurity ソリューションの詳細については、webroot.com/jp/jaをご覧ください。


公式Facebookページ: https://www.facebook.com/WebrootJapan/

公式Twitterアカウント:https://twitter.com/Webroot_JP

オープンテキストについて
オープンテキストは、ビジネスに不可欠な情報やプロセスを効率的に処理・自動化し、情報のハブとして活用できるソフトウェア&クラウドサービスを提供する企業です。ビジネスコンテンツ&プロセス管理をはじめ、B2B/EDIデータ連携サービスやFAXソリューション、Web&デジタルメディア管理、フォレンジック・セキュリティやAIを用いた各種の分析・可視化など、多種多様な業界・業種のお客様へ最適なソリューションを提供しています。

オープンテキスト国内グループ
オープンテキスト株式会社: https://www.opentext.jp
Webroot株式会社: https://webroot.com/jp/ja

本プレスリリースには、オープンテキストの戦略、財務目標、技術、製品、サービス、業績等に関する将来予想に関する記述が含まれています。これらの記述は、現在入手可能な仮定やデータ、方法に基づいていますが、そうした仮定やデータ、方法は必ずしも正しいとは限らず、予想された結果を実現できない場合があります。また、これら将来予想に関する記述は、あくまでオープンテキストの分析や予想を記述したものであって、将来の業績を保証するものではありません。このため、これらの記述を過度に信頼することは控えるようお願いします。これら新たなリスクや不確定要因の詳細についてはOpenText's Annual Report on Form 10-K、Quarterly Reports on Form 10-Qや、SECのウェブサイトにてオンラインで入手できます。本プレスリリース中の将来の見通しに関する記述はすべて当社が現時点で知り得た情報に基づくもので、当社は、これらの将来の見通しに関する記述を最新情報に基づいて更新する義務を負いません。

(C)2020 OpenText. All rights reserved. OpenTextは米国その他の国における商標または登録商標です。その他の商標はすべてそれぞれの所有者に帰属します。

PR TIMES

「危険」をもっと詳しく

「危険」のニュース

トピックス

BIGLOBE
トップへ