チェック・ポイント、2024年6月のマルウェア動向を公開 国内で猛威を振るう脅威は？：セキュリティニュースアラート

チェック・ポイント・ソフトウェア・テクノロジーズは2024年6月のGlobal Threat Indexを発表し、新興ランサムウェアグループRansomHubがLockBit3を超えて最も活発に活動していると報告した。国内の動向はどうか。

[後藤大地，有限会社オングス]

　チェック・ポイント・ソフトウェア・テクノロジーズは2024年7月19日、同年6月の最新版「Global Threat Index」（世界脅威インデックス）を発表した。

　今回のインデックスでは「Ransomware as a Service」（RaaS）の状況変化が報告されており、新興のランサムウェアグループである「RansomHub」が「LockBit3」を超えて最も活発に活動していることが判明している。

LockBit3の衰退とRansomHubが急成長　日本国内の動向は？

　調査によると、長期間猛威を振るっていたLockBit3ランサムウェアグループが衰退していることが確認されている。LockBit3は2024年2月の法執行措置以来活動が低下しており、同年4月の被害者数は27件に減少した。同年5月に一時的に170件に増加しているが、同年6月には再び20件未満に転じている。

　一方、2024年に初めて姿を現したRansomHubは6月に約80組織の新たな被害者を出しており、急速に勢力を拡大していることが分かった。特に米国の被害者は全体の25％とされ、ブラジルやイタリア、スペイン、英国で活発に活動していることが確認されている。

　その他の動向として「FakeUpdates」（別名SocGholi）による最近のキャンペーンが注目されている。FakeUpdatesは過去数カ月にわたり最も活発なマルウェアとして上位にランクインしており、さらに新たに「BadSpace」と呼ばれるバックドアマルウェアを配信していることが明らかにされている。

　BadSpaceは検知を回避するために高度な難読化技術およびアンチサンドボックス技術を使用し、スケジュール化されたタスクによって持続的に稼働を維持するマルウェアだ。コマンド＆コントロール通信は暗号化されているため、傍受が困難とされている。

　チェック・ポイント・ソフトウェア・テクノロジーズのリサーチ担当VPであるマヤ・ホロウィッツ氏は次のように述べている。

　「LockBit3に対する執行措置は、望ましい影響をもたらしたようです。しかし、以前にも指摘した通り、LockBit3が衰退しても主導権が他のランサムウェアグループに移っただけであり、彼らは世界中の組織に対してランサムウェアキャンペーンによる攻撃を続けていくでしょう」

　日本国内のランキングでは「Androxgh0st」が首位を維持し、2位に「BMANAGER」、3位に「AgentTesla」がランクインしている。Androxgh0stは「Windows」や「macOS」「Linux」を標的に複数の脆弱（ぜいじゃく）性を悪用するbotネットだ。特に「PHPUnit」「Laravel Framework」「Apache Web Server」の脆弱性を悪用することで知られている。

　BMANAGERはデータ流出やキーロギングを目的としたモジュール型トロイの木馬で主にWebサイトへのSQLインジェクション攻撃によって配布されている。AgentTeslaは2014年から活動しているキーロガーおよびパスワード窃取機能を持つ高度な遠隔操作型トロイの木馬（RAT）だ。被害者のマシンにインストールされているさまざまなソフトウェアを通じて認証情報を抽出する。

　グローバルランキングではFakeUpdatesが最も流行しており、全世界の組織の7％に影響を及ぼしている。Androxgh0stとAgentTeslaも引き続き上位を占めていることが確認されている。