デジタルセキュリティおよびプライバシー製品のグローバルリーダーであるアバストは、2022年第3四半期脅威レポートを発表しました。同レポートによると、テクニカルサポート詐欺に遭遇するリスク比は調査対象となった国の中で日本が最も高いことがわかりました。また、日本のPCユーザーが仮想通貨を発掘するマルウェアであるコインマイナーに遭遇するリスクが前四半期より20%増加しました。同様にモバイルユーザーがアドウェア(前四半期比33%増)、バンキング型トロイの木馬(前四半期比27%増)、ドロッパー(前四半期13%増)に遭遇するリスクの増加も確認されました。
第1四半期、第2四半期に続き、テクニカルサポート詐欺は日本を標的に活動
2022年7月末から8月初旬にかけて、テクニカルサポート詐欺は一時減少したものの、8月末には再度活動が活発化し、9月には7月以上の活動が見られました。
第1四半期および第2四半期に続き、テクニカルサポート詐欺に遭遇するリスク比は日本のユーザーが最も高く、続いてドイツ、米国、カナダで高いリスクが確認されました。
2022年第3四半期、テクニカルサポート詐欺に遭遇するリスク比
「暗号資産の冬」、コインマイナーは増加傾向に
暗号資産市場は過去数年低迷しており、現在「暗号資産の冬」だと言われています。一方、コインマイナーは依然として、アバストが最も阻止しているマルウェアの1つです。2022年第3四半期、アバストが阻止したコインマイナーは世界的にわずかに減少(前四半期比4%減)したものの、日本では20%増加しました。
2022年第3四半期、コインマイナーに遭遇するリスク比
モバイルを狙うマルウェア
モバイルの脅威は依然としてアドウェアが主流であり、HiddenAdsやFakeAdBlockersなどのアドウェアが目立っており、特に、ブラジル、インド、アルゼンチン、メキシコにおいて、アバストは多くの人々をアドウェアから保護、日本のモバイルユーザーがアドウェアに遭遇するリスクは前四半期と比べて33%増加しました。
2022年第3四半期、モバイルユーザーがアドウェアに遭遇するリスク比
モバイルユーザーが2022年第3四半期にバンキング型トロイの木馬の被害に遭うリスクは、その一種であるFlubotが欧州刑事警察機構(Europol)により制圧されたにも関わらず、2022年第2四半期と比較して7%、日本では27%増加しました。バンキング型トロイの木馬は、主にSMSフィッシングによって拡散されますが、ドロッパー型マルウェアによって拡散されることもあります。 日本では第3四半期、ドロッパーの増加(前四半期比13%増)も確認されています。
2022年第3四半期、モバイルユーザーがバンキング型トロイの木馬に遭遇するリスク比
DealPly、Racoon Stealer、MyKingsの増加
DealPlyは、他のマルウェア経由でインストールされるアドウェアで、2022年9月末にピークに達しました。このアドウェアは、ブラウザ内の新しいページを変更することができるChrome拡張機能で、新しく開かれたタブの置き換え、ブラウザ履歴ののぞき見、ブックマークの変更、ブラウザ内のアプリ、拡張機能、テーマの管理などができてしまいます。サイバー犯罪者はこれらの機能により、検索結果を広告に置き換えたり、ブラウザに保存されているパスワードやクレジットカード情報を盗んだり、ユーザーがフォームに入力した内容(および過去に入力した内容)を読み取ったりすることができます。
Raccoon Stealerはデータを盗み、マルウェアをダウンロードして実行することができる情報窃取型のMaaSで、Adobe Photoshop、Filmora Video Editor、uTorrent Proなどの不正ダウンロードにより拡散しています。同サービスは2022年第3四半期に劇的に増加、アバストは前四半期比370%以上のユーザーをRaccoon Stealerから保護しています。
2022年第3四半期はボットネットの活動が安定していた一方、MyKingsボットネットの活動の増加が確認されました。MyKingsは、2016年より活動が確認されており、暗号通貨の盗取に特化したボットネットです。
さらに、プログラミング言語であるGoで書かれたPitraixというボットネットが、サイバー犯罪者間で人気を集めています。
データ流出を目的としたランサムウェア攻撃の増加
ランサムウェアは、ユーザーに発見されることを避けつつ、ファイルをすぐに暗号化するために、ファイルの先頭や末尾を部分的に暗号化するなどの暗号化を複雑化する手法が増加しています。さらにランサムウェア集団は、企業のデータを暗号化するのではなく、機密ファイルを公開、その後削除または破損すると脅かすようになってきています。
第3四半期に確認された興味深いトレンドとして、サイバー犯罪者集団が、マルウェアの改良、マーケティング、拡散などにクラウドソーシングを利用し、外部の人に支援してもらっていました。アバストではランサムウェア集団「LockBit」において、脆弱性を発見した人やアイデアを提供した人へのバグバウンティ(脆弱性報奨金)、LockBitのロゴをタトゥーを入れた人への賞金を付与していることを確認しています。一方、同集団のメンバーによる裏切り・コードの流出や、セキュリティ企業のEntrust社とのやり取りなども確認されました。
企業や政府がハッキングやAPT攻撃の標的に
親ロシア派のハッカー集団「NoName057(16)」は第3四半期、銀行や報道機関といった企業およびウクライナを支援する政府を標的に、Bobikマルウェアに感染したコンピュータのボットネットを利用してDDoS攻撃を行いました。アバストの調査によると、NoName057(16)の成功率は40%で、同集団が行ったと主張する攻撃の約20%は、コンフィギュレーションファイルに記載された標的と一致していませんでした。
同集団は本年8月、DDOSIAという新しいプロジェクトを発表し、700人以上が参加するプライベートグループをメッセージアプリTelegram上に作成しました。DDOSIAプロジェクトは、インターネット上の誰もが特定のバイナリコードをダウンロードし、NoName057(16)が指定したウェブサイトに対してDDoS攻撃を実行できるようにします。攻撃を行った人には、暗号資産が支給されます。
APT集団「Gamaredon」も、第3四半期にウクライナの軍事・政府機関や大使館を攻撃しており、ファイル流出ツールや、ドロッパー、C&CサーバーのペイロードやIPを妨害する手段を利用しています。
また、中国語で活動するサイバー犯罪集団「LuckyMouse」は、アラブ首長国連邦、台湾、フィリピンの複数の政府機関を攻撃しました。アバストは、感染したコンピュータにてバックドア、Google Chrome向けのパスワードスティーラー、および権限昇格を可能にするBadPotatoなどのオープンソースのツールを発見しました。攻撃者は、悪用されたサーバーを通してデバイスを感染させたと考えられます。
アバストでは、「Donot Team」(別名:APT-C-35)や「Transparent Tribe」(別名:APT36)などのAPT集団も追跡しています。Donot Teamは第3四半期、主にパキスタンで活動が見られ、アバストでは感染したデバイスのytyフレームワークからDLLモジュールを発見しました。パキスタンを拠点に活動していると考えられるTransparent Tribeはインドやアフガニスタンを攻撃し続けており、スピアフィッシング攻撃や悪質なVBAマクロが入ったOfficeドキュメントを通してコンピュータを感染させていました。アバストでは、これに関連する実行ファイルが、同集団の独自のマルウェア「CrimsonRAT」から派生していることを確認しました。
より詳細な情報については、レポート(英語)をご覧ください:
https://decoded.avast.io/threatresearch/avast-q3-2022-threat-report/