チェック・ポイント、2018年7月のマルウェア・ランキング IoTやネットワーク機器を狙う攻撃が2018年5月から倍増
- 2018年08月28日 14:00:00
- マネー
- Dream News
米カルフォルニア州 サン カルロス - 2018年8月15日(日本では2018年8月28日付)
2018年5月以降、MiraiおよびReaperに関する脆弱性を狙った攻撃が倍増しており、7月の脆弱性悪用ランキング上位10種では、IoT関連の脆弱性が新たに3件ランクインしています。
2018年7月は、脆弱性悪用ランキング上位10種にIoT関連の脆弱性が新たに3件ランクインしました。MVPower DVRルータにおけるリモート・コード実行の脆弱性が5位、D_Link DSL-2750Bルータにおけるリモート・コード実行の脆弱性が7位、Dasan GPONルータにおける認証バイパスの脆弱性が10位です。このいずれかの脆弱性に対する攻撃を受けた組織の割合は、世界全体で45%と、2018年6月の35%、2018年5月の21%から増加の一途を辿っています。これらの脆弱性を悪用すると、不正なコードを実行して標的のデバイスをリモートから制御できます。
サイバー犯罪者は、既知の脆弱性を悪用して難なく企業ネットワークに侵入し、さまざまな攻撃を仕掛けることができます。特にIoT関連の脆弱性は、多くの場合、少ない労力で大きな成果を得ることが可能です。デバイスを1台侵害できれば、同じネットワークに接続する大量のデバイスにも容易に侵入できるからです。このため、IoTデバイスを運用する組織には、既知の脆弱性からネットワークを保護するため、公開されたパッチを速やかに適用することが求められます。
ただし、既知と未知の両方の脆弱性から組織を守るためには、既知のマルウェア・ファミリーによるサイバー攻撃とまったく新しい脅威の両者に対応できる多層防御のセキュリティ戦略が必要となります。
2018年7月のマルウェア・ファミリー上位10種では、世界中の組織の19%に影響を与えたCoinhiveが前月に引き続き第1位となっています。第2位と第3位には、それぞれ7%の組織に影響を与えたCryptolootとDorkbotがランクインしています。
2018年7月のマルウェア・ファミリー上位10種:
1. Coinhive - このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
2. Cryptoloot - 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
3. Dorkbot - リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。
4. Andromeda - 主にバックドアとして使用されるモジュール型のボットです。感染ホストに追加のマルウェアをダウンロードしますが、さまざまなタイプのボットネットを構築するように改変することも可能です。
5. JSEcoin - Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
6. Roughted - 不正なインターネット広告キャンペーンを大規模展開するRoughTedは、各種の不正なWebサイトの構築やペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)の配信に使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。
7. XMRig - XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
8. Conficker - 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。
9. Fireball - フル機能のマルウェア・ダウンローダへと拡張可能なブラウザ・ハイジャッカーです。感染マシン上で任意のコードを実行できるため、認証情報の窃取から別のマルウェアのドロップまで、さまざまな活動を行うことができます。
10. Ramnit - バンキング型トロイの木馬です。銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。
組織のモバイル資産を狙った攻撃では、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotが最も多く検出され、次いでTriada、Guerillaという順になっています。
2018年7月のモバイル・マルウェア上位3種:
1. Lokibot - 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
2. Triada - ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。
3. Guerilla - Android向けの広告クリッカーで、リモートの指令(C&C)サーバと通信する、追加のプラグインをダウンロードする、ユーザに無断で勝手に広告をクリックするなどの機能を備えています。
チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。その中で最も悪用件数が多かったのはCVE-2017-7269で、世界の組織の47%に影響を与えています。次いで42%に影響を与えたCVE-2017-5638、僅差で41%に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩の脆弱性」という順になっています。
2018年7月の脆弱性上位10種:
1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) - Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
2. Apache Struts2におけるコンテンツ・タイプを利用したリモート・コード実行(CVE-2017-5638)
- Jakartaマルチパート・パーサーを使用するApache Struts2に存在するリモート・コード実行の脆弱性です。攻撃者は、ファイル・アップロード・リクエストの一部として無効なコンテンツ・タイプを送信することで、この脆弱性を悪用できます。脆弱性を悪用された場合、問題のシステムで任意のコードを実行されるおそれがあります。
3. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) -
OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して接続しているクライアントまたはサーバのメモリの内容を入手できます。
4. WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション - PHPMyAdminに見つかったコード・インジェクションの脆弱性です。この脆弱性は、PHPMyAdminの設定ミスに起因しています。リモートの攻撃者は、特別な細工を施したHTTPリクエストをターゲットに送りつけることで、この脆弱性を悪用できます。
5. MVPower DVRにおけるリモート・コード実行 - MVPower DVRデバイスにリモート・コード実行の脆弱性が存在します。リモートの攻撃者は、細工を施したリクエストを送りつけてこの脆弱性を悪用し、問題のルータ上で任意のコードを実行できます。
6. PHP php-cgiにおけるクエリ文字列パラメータによるコード実行(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、CVE-2012-2336、CVE-2013-4878) - PHPにリモート・コード実行の脆弱性が見つかっています。この脆弱性は、PHPによるクエリ文字列の解析およびフィルタリングが不適切であることに起因しています。リモートの攻撃者は、細工を施したHTTPリクエストを送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、ターゲット上で任意のコードを実行されるおそれがあります。
7. D-Link DSL-2750Bにおけるリモート・コード実行 - D-Link DSL-2750Bルータにリモート・コード実行の脆弱性が見つかっています。脆弱性を悪用された場合、問題のデバイス上で任意のコードを実行されるおそれがあります。
8. Oracle WebLogicのコンポーネントWLS Securityのリモート・コード実行(CVE-2017-10271)
- Oracle WebLogicのコンポーネントであるWLS Securityにはリモート・コード実行の脆弱性があります。これはOracle WebLogicによるxmlのデコードの処理方法に起因するものです。この攻撃が成功した場合、リモートからコードを実行されるおそれがあります。
9. OpenSSL tls_get_message_body関数のinit_msg構造体における解放済みメモリ使用(CVE-2016-6309) - OpenSSLのtls_get_message_body関数に解放済みメモリ使用の脆弱性が見つかっています。認証を受けていないリモートの攻撃者は、特別な細工を施したメッセージを脆弱なサーバに送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、システム上で任意のコードを実行されるおそれがあります。
10. Dasan GPONルータにおける認証バイパス(CVE-2018-10561) - Dasan GPONルータには、認証バイパスの脆弱性が存在します。この脆弱性を悪用された場合、リモートから機密情報を窃取され、問題のシステムに不正アクセスされる可能性があります。
次の地図は、世界各地のリスク指標を示しています(緑 - 低リスク、赤 - 高リスク、灰色 - データ不足)。特にリスクの高い地域やマルウェア感染が多数発生している地域を確認できます。
【画像 http://www.dreamnews.jp/?action_Image=1&p=0000180039&id=bodyimage1】
チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloudのセキュリティ情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。
チェック・ポイントの脅威対策に関する各種リソースについては、次のURLをご覧ください。
https://www.checkpoint.com/threat-prevention-resources/
本ブログは、米国時間8月15日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/15/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/08/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018.html
■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業などあらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供しています。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたるサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を保護するマルチレベルのセキュリティ・アーキテクチャに加え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。
生配信で放送事故?元AKB・鈴木優香、自宅からライブ中に“アダルトグッズ”が映り込み騒然「こんなところに置く?」「再生数稼ぎでは」
ダルビッシュと鈴木誠也が父の日に使用する野球用具公開 普段と違う水色グラブなどでプレー
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
【京都】松田天馬が2点を生み出してホーム初勝利に貢献 ボレー弾と積極プレスで札幌破る
【日本ハム】金村尚真9回110球目「ベストを出せなかった…」V2ラン献上で先発初勝利お預け
千秋がポケビ復活を発表、YouTubeチャンネル登録100万人が条件「みんなの力が必要です」
【C大阪】「ポスト毎熊」奥田勇斗スーパーボレーでJ1初得点 移籍準備の毎熊晟矢に代わり先発
【阪神】木浪聖也が背中に死球受けるも「カツ入れてくれたんで逆にありがたい」前向く
【大学選手権】早大の“副キャプテン翼”吉納翼が逆転3ランなど全4打点「アトム来たな」で1発
【巨人】あと1人で降板…グリフィン9回2死まで無失点好投で2勝目も「もう1死取りたかった」
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
三上悠亜、整形したことを事後報告でネット騒然「素っぴんが美しすぎる」「大半を既にいじっておいて今更」
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
オードリー若林結婚で嫁の名前がソッコーで特定する動き始まる
矢口真里、中学時代の写真公開「やっぱアイドルな人は、違うわ」ネット騒然
【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像
何があった!?「エアコン」が想定外の壊れ具合!投稿者に話を聞いた
玉置浩二の妻、青田典子(53)の現在がとんでもない事になっていると話題に
柏原崇(45)現在を調べてみた結果、相変わらずかっこよすぎた!
三上悠亜、整形したことを事後報告でネット騒然「素っぴんが美しすぎる」「大半を既にいじっておいて今更」
ユーチューバーもこう氏、元彼女・成海瑠奈について赤裸々告白
YouTuberジュキヤの動画企画が大炎上「普通に痴漢」「気持ち悪すぎ」
「愛が生まれた日」藤谷美和子(56)の現在がヤバい!?徘徊生活を送っていた過去も明らかに。
ガーシーが綾野剛のLINE公開でネット騒然「ショック」「すごいエンタメ」
オードリー若林結婚で嫁の名前がソッコーで特定する動き始まる
岡本夏生(56)、1600日ぶりにブログを更新した現在が衝撃
ダルビッシュと鈴木誠也が父の日に使用する野球用具公開 普段と違う水色グラブなどでプレー
【京都】松田天馬が2点を生み出してホーム初勝利に貢献 ボレー弾と積極プレスで札幌破る
【日本ハム】金村尚真9回110球目「ベストを出せなかった…」V2ラン献上で先発初勝利お預け
千秋がポケビ復活を発表、YouTubeチャンネル登録100万人が条件「みんなの力が必要です」
【C大阪】「ポスト毎熊」奥田勇斗スーパーボレーでJ1初得点 移籍準備の毎熊晟矢に代わり先発
【阪神】木浪聖也が背中に死球受けるも「カツ入れてくれたんで逆にありがたい」前向く
【大学選手権】早大の“副キャプテン翼”吉納翼が逆転3ランなど全4打点「アトム来たな」で1発
【巨人】あと1人で降板…グリフィン9回2死まで無失点好投で2勝目も「もう1死取りたかった」
明石家さんま「朝丸兄さん」「ちょっと早いよな」「もう1回会いたかった」 ざこばさんしのぶ
【J2】横浜FC小川慶治朗がリーグ通算2万4千号を含む2得点で勝利貢献 鹿児島9戦ぶり白星