Check Pointが8月の「Global Threat Impact Index」を発表した。同月、金融を狙ったトロイの木馬の変種「Zeus」「Ramnit」「Trickbot」が上位10位のうち3つを占めたと報告している。

バンキング型トロイの木馬の最近の動向(月ごと)。金銭を狙う傾向が著しく強まっていることを示している(同社公式ブログより)

Global Threat Impact IndexはCheck Pointの情報部門で「世界最大級のコラボレーションネットワーク」とするThreatCloudの情報を基にしている。ThreatCloudはサイバー犯罪と戦うことを目的に、世界中に張り巡らせたセンサーから脅威についてのデータや攻撃のトレンドをまとめている。ThreatCloudデータベースは、ボット発見のために2億5,000万件以上のアドレスを分析しており、1,100万件以上のマルウェア署名、550万以上の感染したWebサイトを分析してマルウェアを識別しているという。

同社公式ブログ「August’s Most Wanted Malware: Banking Trojans and Ransomware That Want Your Money」)

8月のトップ10にランクした3種のトロイの木馬は、ユーザーがオンラインバンキングのWebサイトを訪問しているときに識別し、キーロギングやWebインジェクションなどの手法を使ってユーザー名とパスワードといった基本的なログイン情報、場合によってはPINコードなどさらに高度な情報を収集する。ユーザーを偽のオンラインバンキングサイトにリダイレクトして情報を盗むという手法を取るものもある。

1位のRoughTedは7月に続いてトップを維持したが、世界的にみた影響は下がっており、影響を受けた企業や組織18%から12%となっている。2位に入ったのは、ランサムウェアGlobeの変種「Globe Imposter」だ。Globe Imposterは2017年5月に発見されたマルウェアだが、8月になって急速に拡散をはじめた。スパムキャンペーン、マルバタイジング(オンライン広告の形をとるマルウェア)、エクスプロイトキットとして広まっており、暗号化の後、暗号化したファイルに拡張子「.crypt」を付ける。解読するためには、要求された金額を支払う必要がある。一方、7月をのぞく2017年上半期、必ずトップ10に入っていたHummingbadは、8月もランクから漏れた。これらから、サイバー脅威はますます多様化し、変化が激しくなっていると言える。

サイバー犯罪を加速している要因は、財務的な利益獲得だ。効率よく金銭を獲得できるランサムウェアの変種とオンラインバンキングを狙いトロイの木馬が上位10に入っていることから、執拗で高度なスキルを持つ悪意あるハッカーが継続的に金銭をゆすりとろうとしていることがうかがえる。

マルウェア上位10は以下のようになっている。

1 ↔RoughTed 大規模なマルバタイジジング
2 ↑Globe Imposter Globeランサムウェアの変種と見せかけたランサムウェア
3 ↓Hacker Defender Windows向けのユーザ・モードルートキット
4 ↓Fireball ブラウザ・ハイジャッカールでマルウェア・ダウンローダに拡張できる
5 ↔Conficker 遠隔操作、マルウェアのダウンロードを可能にするワーム
6 ↑Pushdo システムに感染してCutwailスパムモジュールをダウンロードするトロイの木馬
7 ↔Zeus "Man-in-the-Browser"攻撃、キー入力やフォーム入力内容の記録により金融機関の情報などを不正に入手するトロイの木馬
8 ↑Ramnit オンラインバンキングの認証情報やFTPのパスワード、セッションクッキー、個人情報を不正入手するトロイの木馬
9 ↑Rig ek Flash、Java、Silverlight、Internet Explorerを狙うエクスプロイトを提供するエクスプロイトキット
10 ↑Trickbot バンキング型トロイの木馬でDyreの変種。2016年10月に確認された

(マルウェア名の前にある矢印は、→:前月と変わらず、↑:前月より上昇、↓:前月から 下降)

モバイルでは8月、大きな変化があった。Triadaが第3位から1位に、2位はHiddad、3位はGooliganと続いている。以下がモバイルのマルウェア上位3位だ。

1、Triada – マルウェアをダウンロードする特権を得るAndroid向けのモジュール型バックドア
2、Hiddad – 合法的なアプリを再パッケージしてサードパーティのアプリストアで後悔するAndroidマルウェア
3、Gooligan – デバイスをルート化し、デバイスに格納している電子メールアドレスや認証トークン情報を不正入手するAndroidマルウェア