starthome-logo 無料ゲーム
starthome-logo

チェック・ポイント、2018年7月のマルウェア・ランキング IoTやネットワーク機器を狙う攻撃が2018年5月から倍増


米カルフォルニア州 サン カルロス - 2018年8月15日(日本では2018年8月28日付)

2018年5月以降、MiraiおよびReaperに関する脆弱性を狙った攻撃が倍増しており、7月の脆弱性悪用ランキング上位10種では、IoT関連の脆弱性が新たに3件ランクインしています。

2018年7月は、脆弱性悪用ランキング上位10種にIoT関連の脆弱性が新たに3件ランクインしました。MVPower DVRルータにおけるリモート・コード実行の脆弱性が5位、D_Link DSL-2750Bルータにおけるリモート・コード実行の脆弱性が7位、Dasan GPONルータにおける認証バイパスの脆弱性が10位です。このいずれかの脆弱性に対する攻撃を受けた組織の割合は、世界全体で45%と、2018年6月の35%、2018年5月の21%から増加の一途を辿っています。これらの脆弱性を悪用すると、不正なコードを実行して標的のデバイスをリモートから制御できます。

サイバー犯罪者は、既知の脆弱性を悪用して難なく企業ネットワークに侵入し、さまざまな攻撃を仕掛けることができます。特にIoT関連の脆弱性は、多くの場合、少ない労力で大きな成果を得ることが可能です。デバイスを1台侵害できれば、同じネットワークに接続する大量のデバイスにも容易に侵入できるからです。このため、IoTデバイスを運用する組織には、既知の脆弱性からネットワークを保護するため、公開されたパッチを速やかに適用することが求められます。

ただし、既知と未知の両方の脆弱性から組織を守るためには、既知のマルウェア・ファミリーによるサイバー攻撃とまったく新しい脅威の両者に対応できる多層防御のセキュリティ戦略が必要となります。
2018年7月のマルウェア・ファミリー上位10種では、世界中の組織の19%に影響を与えたCoinhiveが前月に引き続き第1位となっています。第2位と第3位には、それぞれ7%の組織に影響を与えたCryptolootとDorkbotがランクインしています。

2018年7月のマルウェア・ファミリー上位10種:
1. Coinhive - このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
2. Cryptoloot - 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
3. Dorkbot - リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。
4. Andromeda - 主にバックドアとして使用されるモジュール型のボットです。感染ホストに追加のマルウェアをダウンロードしますが、さまざまなタイプのボットネットを構築するように改変することも可能です。
5. JSEcoin - Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
6. Roughted - 不正なインターネット広告キャンペーンを大規模展開するRoughTedは、各種の不正なWebサイトの構築やペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)の配信に使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。
7. XMRig - XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
8. Conficker - 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。
9. Fireball - フル機能のマルウェア・ダウンローダへと拡張可能なブラウザ・ハイジャッカーです。感染マシン上で任意のコードを実行できるため、認証情報の窃取から別のマルウェアのドロップまで、さまざまな活動を行うことができます。
10. Ramnit - バンキング型トロイの木馬です。銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。

組織のモバイル資産を狙った攻撃では、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotが最も多く検出され、次いでTriada、Guerillaという順になっています。

2018年7月のモバイル・マルウェア上位3種:
1. Lokibot - 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
2. Triada - ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。
3. Guerilla - Android向けの広告クリッカーで、リモートの指令(C&C)サーバと通信する、追加のプラグインをダウンロードする、ユーザに無断で勝手に広告をクリックするなどの機能を備えています。

チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。その中で最も悪用件数が多かったのはCVE-2017-7269で、世界の組織の47%に影響を与えています。次いで42%に影響を与えたCVE-2017-5638、僅差で41%に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩の脆弱性」という順になっています。

2018年7月の脆弱性上位10種:
1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) - Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
2. Apache Struts2におけるコンテンツ・タイプを利用したリモート・コード実行(CVE-2017-5638)
- Jakartaマルチパート・パーサーを使用するApache Struts2に存在するリモート・コード実行の脆弱性です。攻撃者は、ファイル・アップロード・リクエストの一部として無効なコンテンツ・タイプを送信することで、この脆弱性を悪用できます。脆弱性を悪用された場合、問題のシステムで任意のコードを実行されるおそれがあります。
3. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) -
OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して接続しているクライアントまたはサーバのメモリの内容を入手できます。
4. WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション - PHPMyAdminに見つかったコード・インジェクションの脆弱性です。この脆弱性は、PHPMyAdminの設定ミスに起因しています。リモートの攻撃者は、特別な細工を施したHTTPリクエストをターゲットに送りつけることで、この脆弱性を悪用できます。
5. MVPower DVRにおけるリモート・コード実行 - MVPower DVRデバイスにリモート・コード実行の脆弱性が存在します。リモートの攻撃者は、細工を施したリクエストを送りつけてこの脆弱性を悪用し、問題のルータ上で任意のコードを実行できます。
6. PHP php-cgiにおけるクエリ文字列パラメータによるコード実行(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、CVE-2012-2336、CVE-2013-4878) - PHPにリモート・コード実行の脆弱性が見つかっています。この脆弱性は、PHPによるクエリ文字列の解析およびフィルタリングが不適切であることに起因しています。リモートの攻撃者は、細工を施したHTTPリクエストを送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、ターゲット上で任意のコードを実行されるおそれがあります。
7. D-Link DSL-2750Bにおけるリモート・コード実行 - D-Link DSL-2750Bルータにリモート・コード実行の脆弱性が見つかっています。脆弱性を悪用された場合、問題のデバイス上で任意のコードを実行されるおそれがあります。
8. Oracle WebLogicのコンポーネントWLS Securityのリモート・コード実行(CVE-2017-10271)
- Oracle WebLogicのコンポーネントであるWLS Securityにはリモート・コード実行の脆弱性があります。これはOracle WebLogicによるxmlのデコードの処理方法に起因するものです。この攻撃が成功した場合、リモートからコードを実行されるおそれがあります。
9. OpenSSL tls_get_message_body関数のinit_msg構造体における解放済みメモリ使用(CVE-2016-6309) - OpenSSLのtls_get_message_body関数に解放済みメモリ使用の脆弱性が見つかっています。認証を受けていないリモートの攻撃者は、特別な細工を施したメッセージを脆弱なサーバに送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、システム上で任意のコードを実行されるおそれがあります。
10. Dasan GPONルータにおける認証バイパス(CVE-2018-10561) - Dasan GPONルータには、認証バイパスの脆弱性が存在します。この脆弱性を悪用された場合、リモートから機密情報を窃取され、問題のシステムに不正アクセスされる可能性があります。

次の地図は、世界各地のリスク指標を示しています(緑 - 低リスク、赤 - 高リスク、灰色 - データ不足)。特にリスクの高い地域やマルウェア感染が多数発生している地域を確認できます。

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000180039&id=bodyimage1

チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloudのセキュリティ情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。

チェック・ポイントの脅威対策に関する各種リソースについては、次のURLをご覧ください。
https://www.checkpoint.com/threat-prevention-resources/

本ブログは、米国時間8月15日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/15/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/08/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018.html

■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業などあらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供しています。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたるサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を保護するマルチレベルのセキュリティ・アーキテクチャに加え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。


    アクセスランキング

    1. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    2. 二階堂ふみとカズレーザーが結婚を発表

    3. サンモニ膳場貴子が「失言生謝罪」の青木理氏に“17文字”でコメント

    4. 結婚カズレーザー「よくバレなかったね?デート」赤コーデツッコまれ「旅行に行く時さすがに…」

    5. 46歳で妊娠「八重歯の天使」が“ライン”浮き出るタンクトップ姿「妊婦さんに見えない!」の声

    6. 堀江貴文氏が実名挙げ怒りあらわ「ふざけたヤツ」「モラルが欠如してる男」41歳実業家をバッサリ

    7. 34歳元ミス日本の“バキバキ”ビキニに騒然「仕上がってる」父はイチロー氏指導、夫は日本代表

    8. 友近、夜の営みめぐる「断り方」の悩みに対し回答「私は”その行為”がなくても…」

    9. えなこが衝撃“肘ブラ”姿公開でX混乱「布がない…」「バンザイして」「うわー」新写真集の表紙

    10. 大津波予言の「7・5騒動」めぐり木下博勝氏「何らかの責任を取る必要あるのでは?」

    1. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    2. オードリー若林結婚で嫁の名前がソッコーで特定する動き始まる

    3. 再婚した旦那に不倫されてしまった飯島直子(51)衝撃的過ぎる黒歴史が発覚する事態に

    4. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    5. 【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像

    6. 平子理沙、すっぴん自撮りに疑問の声が続出「加工フィルター使ってる」

    7. ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白

    8. ガーシー、みちょぱ反論に対抗で大倉士門の再暴露を投下「士門クズ過ぎる」

    9. ゲーミングPCを買う場所は店舗購入とネット通販どっちがおすすめ?

    10. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    Tips

    1. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    2. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 中村玉緒には今回も触れず「さんま・玉緒の夢かなえたろか」タイトルに名前残して引き続き放送

    2. 【ソフトバンク】ソフトバンク14日にもM32点灯「3本柱」に成長した大関友久が初の2桁勝利

    3. 【C大阪】釜本邦茂さんにささげる今季5試合目の逆転勝利、前身ヤンマー出身のレジェンド

    4. 【オリックス】太田椋がキャリアハイ&2戦連発の7号2ラン 延長戦制して3カードぶり勝ち越し

    5. 【甲子園】県岐阜商・横山温大、ハンディ克服2安打1打点 スタンドの父「すごいな」尊敬

    6. 東ちづる初告白「日航機123便」搭乗予定だった「話さないと心に決め…」から一転「今も涙が」

    7. 髪も気分も弾む“ブーストケア体験”を!新ヘアケアブランド「MEMEME」に大注目

    8. 【DeNA】途中交代の桑原将志に「違和感を感じたしぐさが…無理させなかった」三浦監督が説明

    9. 日本マクドナルド「ハッピーセット」騒動謝罪、転売、フードロスを「厳粛に受け止め」/発表全文

    10. 【DeNA】三浦監督「ミスが点に絡んでいる。そういう点は言い続けていかないと」3失策響き3連敗

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.