starthome-logo 無料ゲーム
starthome-logo

チェック・ポイント、2018年7月のマルウェア・ランキング IoTやネットワーク機器を狙う攻撃が2018年5月から倍増


米カルフォルニア州 サン カルロス - 2018年8月15日(日本では2018年8月28日付)

2018年5月以降、MiraiおよびReaperに関する脆弱性を狙った攻撃が倍増しており、7月の脆弱性悪用ランキング上位10種では、IoT関連の脆弱性が新たに3件ランクインしています。

2018年7月は、脆弱性悪用ランキング上位10種にIoT関連の脆弱性が新たに3件ランクインしました。MVPower DVRルータにおけるリモート・コード実行の脆弱性が5位、D_Link DSL-2750Bルータにおけるリモート・コード実行の脆弱性が7位、Dasan GPONルータにおける認証バイパスの脆弱性が10位です。このいずれかの脆弱性に対する攻撃を受けた組織の割合は、世界全体で45%と、2018年6月の35%、2018年5月の21%から増加の一途を辿っています。これらの脆弱性を悪用すると、不正なコードを実行して標的のデバイスをリモートから制御できます。

サイバー犯罪者は、既知の脆弱性を悪用して難なく企業ネットワークに侵入し、さまざまな攻撃を仕掛けることができます。特にIoT関連の脆弱性は、多くの場合、少ない労力で大きな成果を得ることが可能です。デバイスを1台侵害できれば、同じネットワークに接続する大量のデバイスにも容易に侵入できるからです。このため、IoTデバイスを運用する組織には、既知の脆弱性からネットワークを保護するため、公開されたパッチを速やかに適用することが求められます。

ただし、既知と未知の両方の脆弱性から組織を守るためには、既知のマルウェア・ファミリーによるサイバー攻撃とまったく新しい脅威の両者に対応できる多層防御のセキュリティ戦略が必要となります。
2018年7月のマルウェア・ファミリー上位10種では、世界中の組織の19%に影響を与えたCoinhiveが前月に引き続き第1位となっています。第2位と第3位には、それぞれ7%の組織に影響を与えたCryptolootとDorkbotがランクインしています。

2018年7月のマルウェア・ファミリー上位10種:
1. Coinhive - このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
2. Cryptoloot - 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
3. Dorkbot - リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。
4. Andromeda - 主にバックドアとして使用されるモジュール型のボットです。感染ホストに追加のマルウェアをダウンロードしますが、さまざまなタイプのボットネットを構築するように改変することも可能です。
5. JSEcoin - Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
6. Roughted - 不正なインターネット広告キャンペーンを大規模展開するRoughTedは、各種の不正なWebサイトの構築やペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)の配信に使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。
7. XMRig - XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
8. Conficker - 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。
9. Fireball - フル機能のマルウェア・ダウンローダへと拡張可能なブラウザ・ハイジャッカーです。感染マシン上で任意のコードを実行できるため、認証情報の窃取から別のマルウェアのドロップまで、さまざまな活動を行うことができます。
10. Ramnit - バンキング型トロイの木馬です。銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。

組織のモバイル資産を狙った攻撃では、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotが最も多く検出され、次いでTriada、Guerillaという順になっています。

2018年7月のモバイル・マルウェア上位3種:
1. Lokibot - 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
2. Triada - ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。
3. Guerilla - Android向けの広告クリッカーで、リモートの指令(C&C)サーバと通信する、追加のプラグインをダウンロードする、ユーザに無断で勝手に広告をクリックするなどの機能を備えています。

チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。その中で最も悪用件数が多かったのはCVE-2017-7269で、世界の組織の47%に影響を与えています。次いで42%に影響を与えたCVE-2017-5638、僅差で41%に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩の脆弱性」という順になっています。

2018年7月の脆弱性上位10種:
1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) - Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
2. Apache Struts2におけるコンテンツ・タイプを利用したリモート・コード実行(CVE-2017-5638)
- Jakartaマルチパート・パーサーを使用するApache Struts2に存在するリモート・コード実行の脆弱性です。攻撃者は、ファイル・アップロード・リクエストの一部として無効なコンテンツ・タイプを送信することで、この脆弱性を悪用できます。脆弱性を悪用された場合、問題のシステムで任意のコードを実行されるおそれがあります。
3. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) -
OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して接続しているクライアントまたはサーバのメモリの内容を入手できます。
4. WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション - PHPMyAdminに見つかったコード・インジェクションの脆弱性です。この脆弱性は、PHPMyAdminの設定ミスに起因しています。リモートの攻撃者は、特別な細工を施したHTTPリクエストをターゲットに送りつけることで、この脆弱性を悪用できます。
5. MVPower DVRにおけるリモート・コード実行 - MVPower DVRデバイスにリモート・コード実行の脆弱性が存在します。リモートの攻撃者は、細工を施したリクエストを送りつけてこの脆弱性を悪用し、問題のルータ上で任意のコードを実行できます。
6. PHP php-cgiにおけるクエリ文字列パラメータによるコード実行(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、CVE-2012-2336、CVE-2013-4878) - PHPにリモート・コード実行の脆弱性が見つかっています。この脆弱性は、PHPによるクエリ文字列の解析およびフィルタリングが不適切であることに起因しています。リモートの攻撃者は、細工を施したHTTPリクエストを送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、ターゲット上で任意のコードを実行されるおそれがあります。
7. D-Link DSL-2750Bにおけるリモート・コード実行 - D-Link DSL-2750Bルータにリモート・コード実行の脆弱性が見つかっています。脆弱性を悪用された場合、問題のデバイス上で任意のコードを実行されるおそれがあります。
8. Oracle WebLogicのコンポーネントWLS Securityのリモート・コード実行(CVE-2017-10271)
- Oracle WebLogicのコンポーネントであるWLS Securityにはリモート・コード実行の脆弱性があります。これはOracle WebLogicによるxmlのデコードの処理方法に起因するものです。この攻撃が成功した場合、リモートからコードを実行されるおそれがあります。
9. OpenSSL tls_get_message_body関数のinit_msg構造体における解放済みメモリ使用(CVE-2016-6309) - OpenSSLのtls_get_message_body関数に解放済みメモリ使用の脆弱性が見つかっています。認証を受けていないリモートの攻撃者は、特別な細工を施したメッセージを脆弱なサーバに送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、システム上で任意のコードを実行されるおそれがあります。
10. Dasan GPONルータにおける認証バイパス(CVE-2018-10561) - Dasan GPONルータには、認証バイパスの脆弱性が存在します。この脆弱性を悪用された場合、リモートから機密情報を窃取され、問題のシステムに不正アクセスされる可能性があります。

次の地図は、世界各地のリスク指標を示しています(緑 - 低リスク、赤 - 高リスク、灰色 - データ不足)。特にリスクの高い地域やマルウェア感染が多数発生している地域を確認できます。

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000180039&id=bodyimage1

チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloudのセキュリティ情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。

チェック・ポイントの脅威対策に関する各種リソースについては、次のURLをご覧ください。
https://www.checkpoint.com/threat-prevention-resources/

本ブログは、米国時間8月15日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/15/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/08/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018.html

■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業などあらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供しています。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたるサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を保護するマルチレベルのセキュリティ・アーキテクチャに加え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。


    アクセスランキング

    1. 米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」

    2. フジ「ぽかぽか」で不適切発言が頻発、9月の高畑淳子に続き青学大・原晋監督も 局アナ謝罪対応

    3. 大谷翔平、5000万円相当の野球カード所有権返還を申し立て 元通訳の水原一平被告が無断購入

    4. 壇蜜「収入減ったなぁ」支えは夫とペットたち「ヘビ、キンカジュー、ナマズ、インコ、トカゲ…」

    5. 倖田來未が実名告白「エロかっこいい路線」に進ませた憧れの歌手「同じことしててもあかんなと」

    6. 22歳の大谷翔平、合コン出席も女子アナとの食事も否定、行ったことがあるのは…

    7. ドリカム吉田美和の20歳下夫、突如番組のカラオケ企画に登場し騒然!「一緒に朝ご飯を食べた」

    8. 猪口邦子参院議員宅の火災 2人死亡 夫・孝さんと長女か

    9. 「くだらねえな」堀江貴文氏、斎藤知事巡る疑惑報じるマスコミに怒り「視聴率稼ぎの姑息な手段」

    10. サバンナ高橋茂雄、タクシーで運転手による録音被害!? 妻がスマホで警告も…まさかのセリフ

    1. クロちゃんを騙した「レイちゃま(小林レイミ)」の現在が別人すぎると話題に

    2. ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」

    3. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    4. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    5. “飛び降り配信”女子高生と交際のYouTuberピャスカルが大炎上「擁護できない」

    6. 前澤友作氏「全ての方向で法的措置を検討します」と警告

    7. 米米CLUB元メンバー死去 石井竜也「眉間に皺なんて見たことないくらい、いつもニコニコ…」

    8. 千鳥ノブ、突然の背中激痛で動けなくなり病院直行「診断名」明かす「3日ぐらい動けなかった」

    9. 「グラビア界の超新星」榎原依那がスケスケ悩殺Tシャツ姿公開「たまらん」「エロス」「血圧が」

    10. 元SPEED、新垣仁絵(40)の現在が衝撃的すぎると話題に

    Tips

    1. Windows10サポート終了間近!PC買い替えのベストタイミングと選び方

    2. VLOOKUP関数の次はこれ!MATCH関数とINDIRECT関数を活用した2つの条件で検索する方法

    3. 初心者でも安心!VLOOKUP関数の簡単使い方ガイド

    4. AI PCとは? 仕組み、メリット、そして活用方法

    5. Officeが入っていないPCでOfficeを使う方法を解説!

    game_banner
    おすすめ

    1. サバンナ高橋茂雄、タクシーで運転手による録音被害!? 妻がスマホで警告も…まさかのセリフ

    2. 【巨人】大山悠輔の獲得ならず、6年総額24億円超を提示も 甲斐拓也&石川柊太の交渉は継続

    3. 吉本興業がエハラマサヒロとのマネジメント契約終了を発表「本人の意向を尊重し」

    4. 「石油ストーブはなかった」 猪口参院議員宅の火災、出火原因調べる

    5. 日本テレビ石澤顕社長が辞任、福田博之副社長が来年1月1日から社長に昇格 福田氏はジブリ社長

    6. NewJeans騒動、韓国人夫を持つ作家が私見「事務所の肩を持ちたくもなる…手間とお金を」

    7. 米軍機墜落で漁業者に初の水揚げ補償 オスプレイ事故で屋久島に

    8. 赤ちゃん犬が『初めて鏡を見た』結果…まるでコントのような『困惑のリアクション』が7万再生「たまらん可愛さ」「反応が面白いw」と絶賛

    9. 「きゃべとん」からお得な1100円(税込)の「餃子福袋」販売予定

    10. 【阪神】大山悠輔がFA残留 藤川監督にも連絡「一緒に頑張ろうと言ってもらった」/一問一答

    Starthome

    StartHomeカテゴリー

    Copyright 2024
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.