国内で流行中のマルウェアが分かった チェック・ポイントが調べた2025年6月の現状は

チェック・ポイントは2025年6月の「脅威インデックス」を発表した。国内や海外で流行する主要なマルウェアやランサムウェアについて広告した。

[後藤大地，有限会社オングス]

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）は2025年7月22日、米本社の脅威インテリジェンス部門Check Point Research（以下、CPR）による2025年6月度の「世界脅威インデックス（Global Threat Index）」を発表した。

国内で流行中のマルウェアが分かった

　日本国内で最も活発に活動するマルウェアは何だろうか。

　それは「Androxgh0st」であり、3.36％の影響率を記録した。「Amazon Web Services」（AWS）や「Twilio」、「Microsoft 365」、「SendGrid」などに関連する認証情報を狙うPythonベースのマルウェアとされている。

Androxgh0stはどのようなマルウェアなのか

　Androxgh0stは脆弱（ぜいじゃく）性の悪用、認証情報の窃取、botネットの形成、スキャン攻撃という順番で攻撃を深めていく。

　まず既知のWebアプリケーションの脆弱性をスキャンする。「Apache HTTP Server」や「Laravel」など、WebサーバやCMS、フレームワークの脆弱性が狙われやすい。脆弱性を利用してリモートコードを実行して、悪意のあるファイルをサーバにアップロードしたり、バックドアを仕掛けたりする。

　次に感染後のサーバからさまざまな資格情報を盗み出す。クラウドサービスなどの資格情報を狙う。AWSのAPIキーなどが対象になりやすい。

　最後に資格情報を悪用して犯罪者が使うアカウントを作ったり、AWSのインスタンスなどを乗っ取ったりする。このリソースを使ってDDoS攻撃やスパムメールの送信、より機密度の高い情報の窃取を続ける。その後、インターネットで公開されている別のサーバをスキャンして広がっていく。

どうやって防御すれば良いのか

　OSやWebサーバ、CMS、フレームワークなどにセキュリティパッチを当てて常に最新の状態に保つことが一番の対策だ。特にAndroxgh0stが利用すると分かっている脆弱性は必ず対策しておく。

　次に長くて推測されないパスワードを全てのサービスで設定し、多要素認証を導入する。APIキーやクラウドサービスの認証情報は特に狙われやすいため、管理を厳重にすることはもちろん、権限を最低限にしておく。同時にWebサーバやデータベースなどのアクセスについて最低限のIPアドレスやユーザーに限定する。

一般的な防御策も必要

　Androxgh0stに限らず、セキュリティソフトウェアの導入と、ネットワークセキュリティ対策が有効だ。Webアプリケーションファイアウォールや侵入検知システム（IDS）、侵入防止システム（IPS）の導入が望ましい。

　これらの対策を重ねていたとしても侵入を100％防ぐことは困難だ。目標復旧時点と目標復旧時間を定めた上でバックアップを取り、サーバやセキュリティデバイスのログを監視する必要がある。（キーマンズネット）

　次いで「FakeUpdates」が1.81％、「AgentTesla」が1.29％だった。AgentTeslaは、情報窃取機能を持つ遠隔操作型トロイの木馬（RAT）とされ、被害者の入力情報やシステムからの認証情報抽出などの機能が確認されている。

海外の主要マルウェア

　世界全体ではFakeUpdatesが世界の組織の4％に影響を与え、依然として最も流行しているマルウェアとなっている。続いてAndroxgh0stが3％、リモートアクセス型トロイの木馬「AsyncRAT」が2％と報告されている。

　FakeUpdates（別名：SocGholish）は、引き続き世界で最も流行しているマルウェアとされ、Webサイトを閲覧するだけ感染（ドライブバイダウンロード）して拡散される。感染後には二次ペイロードが配信される仕組みで、ロシアの攻撃グループ「Evil Corp」との関連が示唆されている。

　AsyncRATの悪用では、サイバー攻撃者がソーシャルチャットプラットフォーム「Discord」の招待リンクを悪用して悪意あるペイロードを配信していることが判明した。感染するとシステムへのリモートアクセスや制御が可能になり、情報窃取などの活動に使われている。

主要ランサムウェアグループ

　ランサムウェアでは、「Qilin」（別名：Agenda）が2025年6月の全ランサムウェア攻撃の17％を占めていた。とくに医療や教育・研究分野の大企業を標的とした活動が顕著で、フィッシングメールを通じたネットワーク侵入後、機密データを暗号化する手法だ。

　次いで「Akira」（9％）、「Play」（6％）が続く。AkiraはVPNエンドポイントの脆弱性を悪用し、「.akira」拡張子でファイルを暗号化することが特徴だ。Playは、侵害された有効なアカウントや「Fortinet SSL-VPN」などの未修正の脆弱性を利用してネットワークに侵入する。

モバイルマルウェアの動向

　2025年6月に最も流行したモバイルマルウェアは「Anubis」で、銀行認証情報の窃取機能と多要素認証の回避機能がある。次いで「AhMyth」と「Hydra」が挙がった。AhMythはAndroid OSを標的とするリモートアクセス型マルウェアで、正規のアプリケーションに偽造してバンキングサービスの認証情報や多要素認証コードなどを流出させる。Hydraはバンキング型トロイの木馬で、バンキングアプリケーションから認証情報を窃取する。

業界や地域別の傾向はあるのか

　業界別に見ると、2025年6月に世界で最も攻撃を受けた業種は教育・研究だった。次いで政府関係と通信業界が続く。教育機関は大規模なユーザー基盤を持つことから標的になりやすく、政府機関は機密情報を保有する点からも継続的なリスクにさらされている。

地域別の脅威分布

　地域別では東欧とラテンアメリカ地域でマルウェア活動の活発化が見られ、FakeUpdatesやPhorpiexの感染が拡大した。アジアではネパールやベトナムにおけるRemcosやAgentTeslaの攻撃が増加している。欧州ではスペインやフランスを中心にLummaインフォスティーラーやRaspberry Robinの感染が急増していることが報告された。

　チェック・ポイントはこうした脅威の複雑化・多様化を受け、企業や組織に対し多層防御を基本としたセキュリティ戦略の導入を推奨している。脅威の内容を理解し、最新の攻撃手法に備えることが求められている。