starthome-logo 無料ゲーム
starthome-logo

チェック・ポイント、2018年7月のマルウェア・ランキング IoTやネットワーク機器を狙う攻撃が2018年5月から倍増


米カルフォルニア州 サン カルロス - 2018年8月15日(日本では2018年8月28日付)

2018年5月以降、MiraiおよびReaperに関する脆弱性を狙った攻撃が倍増しており、7月の脆弱性悪用ランキング上位10種では、IoT関連の脆弱性が新たに3件ランクインしています。

2018年7月は、脆弱性悪用ランキング上位10種にIoT関連の脆弱性が新たに3件ランクインしました。MVPower DVRルータにおけるリモート・コード実行の脆弱性が5位、D_Link DSL-2750Bルータにおけるリモート・コード実行の脆弱性が7位、Dasan GPONルータにおける認証バイパスの脆弱性が10位です。このいずれかの脆弱性に対する攻撃を受けた組織の割合は、世界全体で45%と、2018年6月の35%、2018年5月の21%から増加の一途を辿っています。これらの脆弱性を悪用すると、不正なコードを実行して標的のデバイスをリモートから制御できます。

サイバー犯罪者は、既知の脆弱性を悪用して難なく企業ネットワークに侵入し、さまざまな攻撃を仕掛けることができます。特にIoT関連の脆弱性は、多くの場合、少ない労力で大きな成果を得ることが可能です。デバイスを1台侵害できれば、同じネットワークに接続する大量のデバイスにも容易に侵入できるからです。このため、IoTデバイスを運用する組織には、既知の脆弱性からネットワークを保護するため、公開されたパッチを速やかに適用することが求められます。

ただし、既知と未知の両方の脆弱性から組織を守るためには、既知のマルウェア・ファミリーによるサイバー攻撃とまったく新しい脅威の両者に対応できる多層防御のセキュリティ戦略が必要となります。
2018年7月のマルウェア・ファミリー上位10種では、世界中の組織の19%に影響を与えたCoinhiveが前月に引き続き第1位となっています。第2位と第3位には、それぞれ7%の組織に影響を与えたCryptolootとDorkbotがランクインしています。

2018年7月のマルウェア・ファミリー上位10種:
1. Coinhive - このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
2. Cryptoloot - 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
3. Dorkbot - リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。
4. Andromeda - 主にバックドアとして使用されるモジュール型のボットです。感染ホストに追加のマルウェアをダウンロードしますが、さまざまなタイプのボットネットを構築するように改変することも可能です。
5. JSEcoin - Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
6. Roughted - 不正なインターネット広告キャンペーンを大規模展開するRoughTedは、各種の不正なWebサイトの構築やペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)の配信に使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。
7. XMRig - XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
8. Conficker - 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。
9. Fireball - フル機能のマルウェア・ダウンローダへと拡張可能なブラウザ・ハイジャッカーです。感染マシン上で任意のコードを実行できるため、認証情報の窃取から別のマルウェアのドロップまで、さまざまな活動を行うことができます。
10. Ramnit - バンキング型トロイの木馬です。銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。

組織のモバイル資産を狙った攻撃では、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotが最も多く検出され、次いでTriada、Guerillaという順になっています。

2018年7月のモバイル・マルウェア上位3種:
1. Lokibot - 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
2. Triada - ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。
3. Guerilla - Android向けの広告クリッカーで、リモートの指令(C&C)サーバと通信する、追加のプラグインをダウンロードする、ユーザに無断で勝手に広告をクリックするなどの機能を備えています。

チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。その中で最も悪用件数が多かったのはCVE-2017-7269で、世界の組織の47%に影響を与えています。次いで42%に影響を与えたCVE-2017-5638、僅差で41%に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩の脆弱性」という順になっています。

2018年7月の脆弱性上位10種:
1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) - Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
2. Apache Struts2におけるコンテンツ・タイプを利用したリモート・コード実行(CVE-2017-5638)
- Jakartaマルチパート・パーサーを使用するApache Struts2に存在するリモート・コード実行の脆弱性です。攻撃者は、ファイル・アップロード・リクエストの一部として無効なコンテンツ・タイプを送信することで、この脆弱性を悪用できます。脆弱性を悪用された場合、問題のシステムで任意のコードを実行されるおそれがあります。
3. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) -
OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して接続しているクライアントまたはサーバのメモリの内容を入手できます。
4. WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション - PHPMyAdminに見つかったコード・インジェクションの脆弱性です。この脆弱性は、PHPMyAdminの設定ミスに起因しています。リモートの攻撃者は、特別な細工を施したHTTPリクエストをターゲットに送りつけることで、この脆弱性を悪用できます。
5. MVPower DVRにおけるリモート・コード実行 - MVPower DVRデバイスにリモート・コード実行の脆弱性が存在します。リモートの攻撃者は、細工を施したリクエストを送りつけてこの脆弱性を悪用し、問題のルータ上で任意のコードを実行できます。
6. PHP php-cgiにおけるクエリ文字列パラメータによるコード実行(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、CVE-2012-2336、CVE-2013-4878) - PHPにリモート・コード実行の脆弱性が見つかっています。この脆弱性は、PHPによるクエリ文字列の解析およびフィルタリングが不適切であることに起因しています。リモートの攻撃者は、細工を施したHTTPリクエストを送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、ターゲット上で任意のコードを実行されるおそれがあります。
7. D-Link DSL-2750Bにおけるリモート・コード実行 - D-Link DSL-2750Bルータにリモート・コード実行の脆弱性が見つかっています。脆弱性を悪用された場合、問題のデバイス上で任意のコードを実行されるおそれがあります。
8. Oracle WebLogicのコンポーネントWLS Securityのリモート・コード実行(CVE-2017-10271)
- Oracle WebLogicのコンポーネントであるWLS Securityにはリモート・コード実行の脆弱性があります。これはOracle WebLogicによるxmlのデコードの処理方法に起因するものです。この攻撃が成功した場合、リモートからコードを実行されるおそれがあります。
9. OpenSSL tls_get_message_body関数のinit_msg構造体における解放済みメモリ使用(CVE-2016-6309) - OpenSSLのtls_get_message_body関数に解放済みメモリ使用の脆弱性が見つかっています。認証を受けていないリモートの攻撃者は、特別な細工を施したメッセージを脆弱なサーバに送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、システム上で任意のコードを実行されるおそれがあります。
10. Dasan GPONルータにおける認証バイパス(CVE-2018-10561) - Dasan GPONルータには、認証バイパスの脆弱性が存在します。この脆弱性を悪用された場合、リモートから機密情報を窃取され、問題のシステムに不正アクセスされる可能性があります。

次の地図は、世界各地のリスク指標を示しています(緑 - 低リスク、赤 - 高リスク、灰色 - データ不足)。特にリスクの高い地域やマルウェア感染が多数発生している地域を確認できます。

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000180039&id=bodyimage1

チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloudのセキュリティ情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。

チェック・ポイントの脅威対策に関する各種リソースについては、次のURLをご覧ください。
https://www.checkpoint.com/threat-prevention-resources/

本ブログは、米国時間8月15日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/15/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/08/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018.html

■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業などあらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供しています。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたるサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を保護するマルチレベルのセキュリティ・アーキテクチャに加え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。


    アクセスランキング

    1. 俳優の板垣瑞生さん、不慮の事故により逝去 家族がインスタで発表 今年1月末から行方不明に

    2. 昨年引退した元AV男優しみけん「やめてよかったですか?」問いに即答「うん」その理由とは?

    3. 42歳ブレイキングダウン選手、東京駅でケンカ売られ取った行動に「尊敬する」「真似しよ」X拍手

    4. 八代亜紀さんのヌード写真封入アルバム発売、所属事務所が「警察にも相談中」公式コメントを発表

    5. 「徳川家の末裔」32歳ギャル芸人が革命的イメチェンに「イイ女過ぎ」「美人がバレた」「お嬢様」

    6. 板垣瑞生さん急死 共演した元AKB女優「なんでよ。受け入れられないです」

    7. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    8. いとうあさこ、若い女性共演者が窃盗 疑惑の段階でかばうも裏切られ余罪が多数発覚

    9. 万博トイレに不満や疑問噴出 元宝塚女優「なんでこんな事をするのだろう」

    10. 21歳元グラドルが免許合宿でのセクハラ報告、教官に言われた衝撃ワードを告発→大問題→教官退社

    1. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. 俳優の板垣瑞生さん、不慮の事故により逝去 家族がインスタで発表 今年1月末から行方不明に

    4. 広末涼子容疑者は奈良から車で移動中だった「なかなか厳しいのでは」識者が疑問呈す

    5. 広末涼子容疑者の元夫キャンドル・ジュン氏が繰り返した語った言葉「心が…」がネットで再注目

    6. 孤独のグルメで旨そうだった「トマトの酢漬け」のおいしい作り方! フレッシュな旨味がキューッとくるっ

    7. 自称広末涼子容疑者逮捕「涙出てくる。悔しい」“本物”は全国TVで社長の苦悩語ったばかり

    8. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    9. 昨年引退した元AV男優しみけん「やめてよかったですか?」問いに即答「うん」その理由とは?

    10. 広末涼子容疑者の逮捕は“異例”弁護士見解に小説家の医師「我々はサンドバッグじゃなくて人間」

    Tips

    1. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    2. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 高嶋ちさ子「観覧注意」人気アナウンサー&モデルとの「全員すっぴんの無加工旅」韓国弾丸旅行

    2. 辛坊治郎氏、今秋にも引退「す・またん」「そこまで言って委員会」などで人気

    3. 中村七之助が結婚発表「しなくてもいい」から「大賞とったら」最近は変化していた結婚観

    4. 岡田結実、新婚の夫と“押し付け合っているもの”告白「どうしましょう…」半年間ほど放置

    5. 松井裕樹に第3子誕生、出産に立ち合い「妻と我が子の頑張りに本当に感動」

    6. 木佐彩子アナ「いつもの3人で弾丸韓国旅へ」“分刻み”ではなく“秒刻み”で満喫したい人は…

    7. 長嶋一茂&カズレーザーに専門家がプレゼンバトル 日テレ系ニュースで特集してほしい業界選ぶ

    8. 【ヤングアニマルWeb】新谷姫加がセクシーな猫みみ&ロリータ姿を披露♡

    9. FRUITS ZIPPER仲川瑠夏、近況Sにファン歓喜 スヌープ会にしなことの2ショットも

    10. 元月組トップ瀬奈じゅん、「小学2年生」「食細い界隈」の息子と一緒に作ったものは…

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.