starthome-logo 無料ゲーム
starthome-logo

チェック・ポイント、2018年7月のマルウェア・ランキング IoTやネットワーク機器を狙う攻撃が2018年5月から倍増


米カルフォルニア州 サン カルロス - 2018年8月15日(日本では2018年8月28日付)

2018年5月以降、MiraiおよびReaperに関する脆弱性を狙った攻撃が倍増しており、7月の脆弱性悪用ランキング上位10種では、IoT関連の脆弱性が新たに3件ランクインしています。

2018年7月は、脆弱性悪用ランキング上位10種にIoT関連の脆弱性が新たに3件ランクインしました。MVPower DVRルータにおけるリモート・コード実行の脆弱性が5位、D_Link DSL-2750Bルータにおけるリモート・コード実行の脆弱性が7位、Dasan GPONルータにおける認証バイパスの脆弱性が10位です。このいずれかの脆弱性に対する攻撃を受けた組織の割合は、世界全体で45%と、2018年6月の35%、2018年5月の21%から増加の一途を辿っています。これらの脆弱性を悪用すると、不正なコードを実行して標的のデバイスをリモートから制御できます。

サイバー犯罪者は、既知の脆弱性を悪用して難なく企業ネットワークに侵入し、さまざまな攻撃を仕掛けることができます。特にIoT関連の脆弱性は、多くの場合、少ない労力で大きな成果を得ることが可能です。デバイスを1台侵害できれば、同じネットワークに接続する大量のデバイスにも容易に侵入できるからです。このため、IoTデバイスを運用する組織には、既知の脆弱性からネットワークを保護するため、公開されたパッチを速やかに適用することが求められます。

ただし、既知と未知の両方の脆弱性から組織を守るためには、既知のマルウェア・ファミリーによるサイバー攻撃とまったく新しい脅威の両者に対応できる多層防御のセキュリティ戦略が必要となります。
2018年7月のマルウェア・ファミリー上位10種では、世界中の組織の19%に影響を与えたCoinhiveが前月に引き続き第1位となっています。第2位と第3位には、それぞれ7%の組織に影響を与えたCryptolootとDorkbotがランクインしています。

2018年7月のマルウェア・ファミリー上位10種:
1. Coinhive - このマイニング・ツールはユーザがWebページを訪れたときに、通知したり同意を得たりすることなく、そのユーザのリソースを利用して仮想通貨Moneroの採掘を行います。埋め込まれたJavaScriptにより、エンドユーザの大量のコンピューティング・リソースを利用してマイニングを実施し、システムのパフォーマンスに悪影響を及ぼします。
2. Cryptoloot - 被害者のCPUやGPUの処理能力に加え、既存のリソースも活用して仮想通貨の採掘を行うマイニング・ツールです。ブロックチェーンにトランザクションを追加し、新しい通貨を発行します。Coinhiveと競合するツールであり、Webサイトで生じた収益から差し引く手数料を抑える戦略で優位に立とうとしています。
3. Dorkbot - リモート・コード実行や、感染したシステムへのマルウェアのダウンロードを可能にするIRCベースのワームです。
4. Andromeda - 主にバックドアとして使用されるモジュール型のボットです。感染ホストに追加のマルウェアをダウンロードしますが、さまざまなタイプのボットネットを構築するように改変することも可能です。
5. JSEcoin - Webサイトに埋め込み可能なJavaScriptによるマイニング・ツールです。JSEcoinでは、ブラウザで直接マイニング・ツールを実行する代わりに、広告の非表示やゲーム内通貨の提供などのメリットが得られます。
6. Roughted - 不正なインターネット広告キャンペーンを大規模展開するRoughTedは、各種の不正なWebサイトの構築やペイロード(詐欺ツール、アドウェア、エクスプロイト・キット、ランサムウェア)の配信に使用されています。標的のプラットフォームやオペレーティング・システムを問わずに使用できるほか、広告ブロッカーのバイパスやフィンガープリンティングによって、標的に最適な攻撃を実行します。
7. XMRig - XMRigは、仮想通貨Moneroの採掘に使用されるオープンソースのCPUマイニング・ソフトウェアで、2017年5月に初めて確認されました。
8. Conficker - 遠隔操作やマルウェアのダウンロードを可能にするワームです。感染したマシンはボットネットの一部として制御され、指令(C&C)サーバと通信して命令を受け取ります。
9. Fireball - フル機能のマルウェア・ダウンローダへと拡張可能なブラウザ・ハイジャッカーです。感染マシン上で任意のコードを実行できるため、認証情報の窃取から別のマルウェアのドロップまで、さまざまな活動を行うことができます。
10. Ramnit - バンキング型トロイの木馬です。銀行の認証情報やFTPのパスワード、セッションcookie、個人情報を窃取します。

組織のモバイル資産を狙った攻撃では、情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬Lokibotが最も多く検出され、次いでTriada、Guerillaという順になっています。

2018年7月のモバイル・マルウェア上位3種:
1. Lokibot - 情報の窃取を目的とするAndroid向けのバンキング型トロイの木馬ですが、管理者権限を取得できない場合はランサムウェアとなってスマートフォンをロックします。
2. Triada - ダウンロードしたマルウェアにスーパーユーザ権限を付与し、システム・プロセスへの埋め込みを可能にするAndroid向けのモジュール型バックドアです。ブラウザに読み込まれるURLを偽装する動作も確認されています。
3. Guerilla - Android向けの広告クリッカーで、リモートの指令(C&C)サーバと通信する、追加のプラグインをダウンロードする、ユーザに無断で勝手に広告をクリックするなどの機能を備えています。

チェック・ポイントの研究者は最も悪用されている脆弱性も調査しています。その中で最も悪用件数が多かったのはCVE-2017-7269で、世界の組織の47%に影響を与えています。次いで42%に影響を与えたCVE-2017-5638、僅差で41%に影響を与えた「OpenSSL TLS DTLS Heartbeatにおける情報漏洩の脆弱性」という順になっています。

2018年7月の脆弱性上位10種:
1. Microsoft IIS WebDAVサービスの ScStoragePathFromUrl関数のバッファ・オーバーフロー(CVE-2017-7269) - Microsoft Internet Information Services 6.0を使ってネットワーク経由でMicrosoft Windows Server 2003 R2に細工したリクエストを送信することにより、攻撃者がリモートから任意のコードを実行したり、ターゲットのサーバにサービス妨害攻撃を仕掛けたりできるようになります。これはHTTPリクエストの長いヘッダーの検証不備に起因するバッファ・オーバーフローの脆弱性が主な原因です。
2. Apache Struts2におけるコンテンツ・タイプを利用したリモート・コード実行(CVE-2017-5638)
- Jakartaマルチパート・パーサーを使用するApache Struts2に存在するリモート・コード実行の脆弱性です。攻撃者は、ファイル・アップロード・リクエストの一部として無効なコンテンツ・タイプを送信することで、この脆弱性を悪用できます。脆弱性を悪用された場合、問題のシステムで任意のコードを実行されるおそれがあります。
3. OpenSSL TLS DTLS Heartbeatにおける情報漏洩(CVE-2014-0160、CVE-2014-0346) -
OpenSSLに存在する情報漏洩の脆弱性です。この脆弱性は、TLS/DTLS Heartbeatのパケット処理時のエラーに起因しています。攻撃者は、この脆弱性を悪用して接続しているクライアントまたはサーバのメモリの内容を入手できます。
4. WebサーバのPHPMyAdminの設定ミスに起因するコード・インジェクション - PHPMyAdminに見つかったコード・インジェクションの脆弱性です。この脆弱性は、PHPMyAdminの設定ミスに起因しています。リモートの攻撃者は、特別な細工を施したHTTPリクエストをターゲットに送りつけることで、この脆弱性を悪用できます。
5. MVPower DVRにおけるリモート・コード実行 - MVPower DVRデバイスにリモート・コード実行の脆弱性が存在します。リモートの攻撃者は、細工を施したリクエストを送りつけてこの脆弱性を悪用し、問題のルータ上で任意のコードを実行できます。
6. PHP php-cgiにおけるクエリ文字列パラメータによるコード実行(CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、CVE-2012-2336、CVE-2013-4878) - PHPにリモート・コード実行の脆弱性が見つかっています。この脆弱性は、PHPによるクエリ文字列の解析およびフィルタリングが不適切であることに起因しています。リモートの攻撃者は、細工を施したHTTPリクエストを送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、ターゲット上で任意のコードを実行されるおそれがあります。
7. D-Link DSL-2750Bにおけるリモート・コード実行 - D-Link DSL-2750Bルータにリモート・コード実行の脆弱性が見つかっています。脆弱性を悪用された場合、問題のデバイス上で任意のコードを実行されるおそれがあります。
8. Oracle WebLogicのコンポーネントWLS Securityのリモート・コード実行(CVE-2017-10271)
- Oracle WebLogicのコンポーネントであるWLS Securityにはリモート・コード実行の脆弱性があります。これはOracle WebLogicによるxmlのデコードの処理方法に起因するものです。この攻撃が成功した場合、リモートからコードを実行されるおそれがあります。
9. OpenSSL tls_get_message_body関数のinit_msg構造体における解放済みメモリ使用(CVE-2016-6309) - OpenSSLのtls_get_message_body関数に解放済みメモリ使用の脆弱性が見つかっています。認証を受けていないリモートの攻撃者は、特別な細工を施したメッセージを脆弱なサーバに送りつけることで、この脆弱性を悪用できます。脆弱性を悪用された場合、システム上で任意のコードを実行されるおそれがあります。
10. Dasan GPONルータにおける認証バイパス(CVE-2018-10561) - Dasan GPONルータには、認証バイパスの脆弱性が存在します。この脆弱性を悪用された場合、リモートから機密情報を窃取され、問題のシステムに不正アクセスされる可能性があります。

次の地図は、世界各地のリスク指標を示しています(緑 - 低リスク、赤 - 高リスク、灰色 - データ不足)。特にリスクの高い地域やマルウェア感染が多数発生している地域を確認できます。

【画像 http://www.dreamnews.jp/?action_Image=1&p=0000180039&id=bodyimage1

チェック・ポイントのGlobal Threat Impact IndexとThreatCloud Mapの基盤となるのは、チェック・ポイントが運用しているThreatCloudのセキュリティ情報です。ThreatCloudは、サイバー犯罪阻止を目的とする業界最大規模の協調型ネットワークで、世界中に設置された脅威センサーのネットワークから収集した脅威情報や攻撃動向を配信しています。ThreatCloudのデータベースには、ボット発見を目的として分析された2億5,000万件以上のアドレスや、1,100万件以上のマルウェア・シグネチャ、550万件以上の不正サイトの情報が登録されています。ThreatCloudは、1日あたり数百万種類のマルウェアを発見しています。

チェック・ポイントの脅威対策に関する各種リソースについては、次のURLをご覧ください。
https://www.checkpoint.com/threat-prevention-resources/

本ブログは、米国時間8月15日に配信されたものの抄訳です。
米ブログ本文はこちらをご確認ください。
https://blog.checkpoint.com/2018/08/15/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018/
日本のブログ本文はこちらをご確認ください。
https://www.checkpoint.co.jp/threat-cloud/2018/08/julys-most-wanted-malware-attacks-targeting-iot-and-networking-doubled-since-may-2018.html

■チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ( www.checkpoint.com )は、世界各国の政府機関や企業などあらゆる組織に対応するサイバー・セキュリティ・ソリューションを提供しています。業界随一の検出率を誇る先進のソリューションにより、お客様のネットワークを、マルウェアやランサムウェアなどの多岐にわたるサイバー攻撃から保護します。企業のクラウドやネットワークのほかモバイル・デバイスに保存されている情報を保護するマルチレベルのセキュリティ・アーキテクチャに加え、直感的で操作性に優れた総合的かつ一元的なセキュリティ管理システムを展開しています。世界の10万以上の組織・企業がチェック・ポイントのセキュリティ製品を利用しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社( http://www.checkpoint.co.jp/ )は、1997年10月1日設立、東京都新宿区に拠点を置いています。


    アクセスランキング

    1. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    2. 広末涼子容疑者は奈良から車で移動中だった「なかなか厳しいのでは」識者が疑問呈す

    3. 広末涼子容疑者の元夫キャンドル・ジュン氏が繰り返した語った言葉「心が…」がネットで再注目

    4. 自称広末涼子容疑者逮捕「涙出てくる。悔しい」“本物”は全国TVで社長の苦悩語ったばかり

    5. 広末涼子容疑者の逮捕は“異例”弁護士見解に小説家の医師「我々はサンドバッグじゃなくて人間」

    6. 広末涼子容疑者 事件当時、受け答え難しい状況 看護師への傷害容疑

    7. 「普通は逮捕される事案ではない」広末涼子容疑者現行犯逮捕の“異例さ”背景を著名弁護士が解説

    8. 石橋貴明のがん公表動画“削除”にネット困惑「どういうこと?病気嘘だったってこと?」

    9. 広末涼子容疑者の医療従事者暴行 木下博勝氏も被害明かす「幸いにも大怪我では無かったので…」

    10. サンド富澤たけし、漫才中に観客がゾロゾロと途中離席「帰るんですか?!」驚きのその理由とは?

    1. 多部未華子(30)結婚の裏事情あまりにも恐ろしすぎると話題に!

    2. 二階堂ふみが結婚!?お相手が衝撃的過ぎてネット民「マジか・・・」

    3. 【おすすめアニメ50選】完結済み!定番から最新作まで!

    4. 小澤征悦と再婚した桑子真帆アナ(34)黒い過去が流出、衝撃の過去にネット騒然

    5. 中居正広氏、14年前に脳科学者が「女性におぼれて芸能界追放」と“予言” X騒然「すごい」

    6. 「中居正広」Xトレンド入り、第三者委員会の調査報告書にツッコミ殺到「こりゃ酷い」の声

    7. 楽しんご、銭湯での男性へのわいせつ行為で逮捕された中孝介容疑者に“8文字”でずばり私見

    8. 広末涼子容疑者は奈良から車で移動中だった「なかなか厳しいのでは」識者が疑問呈す

    9. 広末涼子容疑者の元夫キャンドル・ジュン氏が繰り返した語った言葉「心が…」がネットで再注目

    10. 【ネタバレ?】史実で見るキングダムの今後の展開まとめ〜中華統一までの全体像

    Tips

    1. エクセル初心者でも安心!アプリ・本・PCを使った超簡単学習法10選

    2. 買い切り版Officeのサポート終了後、使い続けるとどうなる?

    3. WPS Office 2ってどれがいいの?購入に迷ったときに役立つエディション別のおすすめポイントをご紹介します!

    4. Excel初心者必見!基本の表の作り方や見やすくする方法のコツを解説!

    5. エクセルで簡単!開始日から終了日までの日数計算テクニック

    game_banner
    おすすめ

    1. 【西武】今井達也「先制点だけは与えたくない」7回途中までノーノー、8回無失点

    2. 【日本ハム】新庄監督「興奮した」代走松本剛&代打郡司裕也…勝負カードの2人で劇的サヨナラ

    3. 【東京】守る展開続き、土壇場で追いつかれ7戦未勝利 松橋監督「僕も含めて自分達の甘さ出た」

    4. ジェネレーソンズ、“本家”とコラボ実現で会場爆笑「法にのっとったギリギリのラインで…」

    5. 流血フィンランド映画『血戦 ブラッドライン』劇場では流せない過激版予告編 入場者特典は“殺ステッカー”[ホラー通信]

    6. NY外為:ドル売り一服、米期待インフレ率上昇、ドル指数は依然100割れ

    7. 【阪神】岩崎優が5セーブ目 通算509登板で球団レジェンドに肩並べる「また積み重ねて」

    8. ナダル、緊急入院していた「血便止まらん、便器が真っ赤で」1週間休養、患部も明かす

    9. JR西の運転士、必要な眼鏡かけずに電車運転 SNSの動画で発覚

    10. 【柏】FW木下康介が土壇場同点弾 自己採点は「点を取ったから100点」東京と1-1ドロー

    Starthome

    StartHomeカテゴリー

    Copyright 2025
    ©KINGSOFT JAPAN INC. ALL RIGHTS RESERVED.