脅威の調査

ソフォス脅威レポート 2025 年版 追加情報: 最も頻繁に確認されたマルウェアと悪用されたソフトウェア

ソフォスが検出した、2024 年を通じてサイバー犯罪者が使用したツール
作成者 ,
2025、 4月 16
Security Operations Threat Research 2024 年のマルウェアトレンド Dual-use tools セキュリティの運用 デュアルユースツール 年次脅威レポート 攻撃ツール 脅威の調査

** 本記事は、Sophos Annual Threat Report appendix: Most frequently encountered malware and abused software の翻訳です。最新の情報は英語記事をご覧ください。**

ソフォスの年次脅威レポートの本付録では、中堅・中小企業 (SMB) を標的とするサイバー犯罪者が使用するツールの詳細を示すインシデントデータとテレメトリに関する追加統計を提供しています。SMB が直面する脅威についてのより広範な考察については、元記事をご確認ください。

本付録の内容:

最も頻繁に確認されたマルウェアの種類

中堅・中小企業は、データに対する膨大な脅威に直面しています。その中には、ランサムウェア攻撃の前兆や、機密情報侵害の前段階となるものもあります。ランサムウェアは、2024 年に Sophos MDR および Sophos Incident Response (IR) で観測されたマルウェアの大半を占めており、上位 10 件のマルウェアは、1 年間で MDR および IR が追跡した全インシデントの 25% 以上を占めています。しかし、マルウェアがすべてランサムウェアだというわけではありません。MDR インシデントの 60% 近くがランサムウェア以外の脅威によるものでした。

 

Other12.79% Miner 0.89% Ransomware 1.18% Web/Browser Hijack 3.60% Attack tool/Exploit/EDR Killer 7.95% RAT/Backdoor 15.52% Stealer/Spyware 18.63% Loader/Downloader/Dropper 39.74% 9.13% of all malware was malware-as-a-service

図 13: 2024 年に最も多く検出されたマルウェアのカテゴリ (お客様からの検出報告に基づく)

Qilin (ransomware)1.05% Blacksuit (ransomware) 1.23% Faust (ransomware) 1.23% Crytox (ransomware) 1.41% Playcrypt (ransomware) 1.58% Black Basta (ransomware) 1.93% RansomHub (ransomware) 2.28% Gootloader (malware loader/dropper) 2.64% ChromeLoader (malware loader/dropper) 3.51% Fog (ransomware) 3.51% LockBit (ransomware) 4.39% Lumma Stealer (information stealer) 4.57% Akira (ransomware) 4.92% Cobalt Strike (C2 tool) 8.08% Web shell (C2) 9.84%
図 14: MDR および IR のインシデントで確認されたマルウェアおよび攻撃ツールの上位 15 件

コマンドアンドコントロールツール、マルウェアローダー、リモート管理ツール、情報窃取マルウェアは、(ランサムウェアを除いて) 中小企業を標的とする悪意のあるマルウェアの大部分を占めています。厳密にはこれらのツールの一部はマルウェアではありませんが、ランサムウェアやその他のサイバー攻撃の展開に使用されています。

Sophos MDR および IR のインシデントで確認された上位 10 件のツールおよびマルウェアのうち、これらのカテゴリに該当しないのは XMRig のみです。XMRig は暗号通貨をマイニングするマルウェアで、アクセス権が販売されたり、ランサムウェアの攻撃者によって悪用されたりする前に、受動的に収益を上げるために使用されます。

図 20: エンドポイント保護のお客様から報告された情報窃取マルウェアの検出割合上位
ExMatter (data exfiltration)0.56% Backstab (EDR killer) 0.56% Parcel RAT 0.56% DataGrabber (data exfiltration) 0.56% AsyncRAT 0.56% Sliver attack tool 0.56% Pikabot backdoor 0.56% Brute Ratel C4 0.56% Metasploit exploit framework 1.11% Grixba network scanning tool 1.11% SystemBC proxy/RAT 1.67% XMRIG miner malware 2.22% Web shell 7.22% Cobalt Strike attack tool 10.56%
図 16: Sophos MDR および Sophos Incident Response のランサムウェア関連インシデントで確認された上位の非ランサムウェアマルウェアおよびツール

 

デュアルユースツール

サイバー犯罪者がランサムウェア攻撃などの悪意のある活動のために、一般に入手可能な商用ソフトウェア、フリーウェア、オープンソースソフトウェアを広く使用していることは、以前から続く傾向の 1 つです。Sophos MDR では、これらのソフトウェアを「デュアルユースツール」と呼んでいます。正当な理由でネットワーク上に存在しているにもかかわらず、サイバー犯罪者に頻繁に悪用されるためです。

デュアルユースツールは、「環境寄生型バイナリ」(LOLBin) のような OS が提供するコンポーネントやスクリプトエンジンとは異なり、攻撃者の意図通りに配信され、使用される完全なアプリケーションです。「デュアルユース」に分類されるツールの中には、レッドチームによるセキュリティ評価ツールもあります。たとえば、Impacket と Mimikatz はセキュリティ研究者のために作られたオープンソースのツールです。SoftPerfect Network Scanner や Advanced IP Scanner のようなツールも本来はネットワーク管理者向けのものですが、サイバー犯罪者がネットワークデバイスや開放されたネットワークポートを探索するのに使用されています。

Advanced Port Scanner (network discovery)4.92% FileZilla (file exfiltration) 5.10% Rclone (file exfiltration) 7.38% 7-Zip (file archiving/encryption) 7.38% PuTTy (remote command execution) 7.73% ScreenConnect (remote desktop access) 9.14% WinRAR (file archiving/encryption) 9.31% Sophos Uninstall (security tool removal) 9.49% Advanced IP Scanner (network discovery) 10.72% Mimikatz (credential dumping) 11.60% RDPclip (remote/local shared clipboard) 16.70% Impacket (network protocol exploitation) 17.05% AnyDesk (remote desktop access) 17.40% PsExec (remote command execution) 18.28% SoftPerfect Network Scanner (network discovery) 19.51%

図 17: Sophos MDR および Sophos Incident Response のインシデントで確認された「デュアルユース」ツール上位 15 件 (割合順)

図 18: ソフォスのエンドポイント検出で確認された「デュアルユース」攻撃ツール上位 9 件

商用リモートアクセスツールは、MDR および IR のインシデントで最も頻繁に使用されたデュアルユースツールです。

TypeFrequency LevelRMM (remote machine management) 0.70% RemCom (remote command execution) 0.70% MobaXterm (remote shell) 0.88% VNC (remote desktop) 1.58% NetSupport (remote machine management) 1.76% Cloudflared (Cloudflare network tunneling client) 1.76% Ngrok (web application tunneling) 2.11% WinRM (remote machine management) 2.28% Splashtop (remote desktop) 2.99% TeamViewer (remote desktop) 3.16% Atera (remote machine management) 3.51% OpenSSH (remote shell) 4.04% PuTTy (remote shell) 7.73% ScreenConnect (remote desktop) 9.14% AnyDesk (remote desktop) 17.40% PSExec (remote command execution) 18.28%
図 19: Sophos MDR および Incident Response のインシデントで確認されたデュアルユースツール上位 15 件

商用リモートアクセスツールを利用する攻撃者は通常、試用アカウントのライセンスを悪用したり、標的マシンに展開するバージョンには海賊版ライセンスを使用したりします。多くの場合、この活動はマルウェアのドロッパーや Web シェル、その他のコマンドアンドコントロールツールによる初期侵害の後に行われます。また、最近 Teams の「ビッシング」攻撃で確認されたように、ソーシャルエンジニアリングを通じて標的ユーザー自身にツールをダウンロード、インストールさせる事例もあります。

正規のリモートマシン管理ツールの使用は、特にランサムウェアの事例で増加していますが、リモートデスクトップアクセスツールの AnyDesk と ScreenConnect は、Sophos MDR および IR のインシデントで最も頻繁に使用されている商用 IT サポートツールです。また、全事例で最も一般的なツールは以前と同様 PSExec でした。このツールはリモートでコマンドを実行したり、コマンドシェルセッションを作成したりするために使用される Microsoft 製の「軽量 Telnet 代替ツール」です。

ソフォスのお客様は、Sophos Central でアプリケーションコントロールポリシーを使用することでツールの使用を制限できます。また、正規の IT サポートに使用されていないツールを制限してください。

攻撃ツール

Cobalt Strike、Silver、Metasploit および Brute Ratel は本来侵入テスト用のツールであり、正式にはマルウェアではありません。しかし、これらのツールはマルウェアの配信や、マルウェア攻撃におけるコマンドアンドコントロールの実行のため頻繁に使用されています。これらのツールのように詳しく文書化され、商業的にサポートされているポストエクスプロイトツールを使用することは、本来標的組織内で足場を拡張するには独自のツールを構築しなければならないサイバー犯罪者にとって、大きな利点となります。

Cobalt Strike は、これらの攻撃ツールの中で依然として最も多く使用されており、全インシデントの 8%、ランサムウェア関連インシデントの約 11% で使用されています。この割合は、Cobalt Strike が MDR インシデントで使用された商用ツールの中で AnyDesk および PSExec リモートアクセスツールに次いで 3 番目に多く確認された 2023 年から大幅に減少しています。オープンソースで提供されている Silver および Metasploit ベースのツールはさらに使用頻度が低く、サイバー犯罪者による Brute Ratel の使用は依然として極めて稀です。

情報窃取ツール

図 20: エンドポイント保護のお客様から報告された情報窃取マルウェアの検出割合上位

 

情報窃取マルウェアは、アクセスブローカーが最初に用いる手口のひとつであり、パスワード、Cookie などのデータを提供し、金融詐欺、ビジネスメール詐欺、ランサムウェア攻撃など、さまざまな不正行為に悪用されます。

Lumma Stealer は、サービスとしてのマルウェア (MaaS) としてロシア語圏のフォーラムで販売されており、MDR インシデントで最も頻繁に確認された情報窃取ツールでした。エンドポイント検出レポート全体では 2 位を占めています。10 月に始まった大規模な Lumma Stealer キャンペーンにより、2024 年第 4 四半期には最も多く報告された情報窃取ツールとなりました。昨年の MaaS 情報窃取ツールの検出割合で首位を占めていた RaccoonStealer (インフラが破壊された後、2024 年に新バージョンをリリース) をはるかに上回り、年末には Strela Stealer (2023 年に順位を上げ、2024 年の初期にピークを迎えたが、下半期には低迷) をも上回りました。2024 年に追跡された MDR インシデントで、Strela Stealer に関係する事例はありませんでした。

A chart showing a histogram of Lumma Stealer detections, with a majority of detections occurring in October and November of 2024.

図 21: お客様のエンドポイント検出で観測された 2024 年の Lumma Stealer の活動

A histogram showing a peak of Lumma Stealer events in November
図 22: 2024 年における Lumma Stealer 関連の MDR インシデント発生件数

 

A histogram showing spikes of Strela Stealer detections in February, March and July of 2024.
図 23: お客様のエンドポイント検出で観測された 2024 年の Strela Stealer の活動

2022 年 8 月に初めて確認された Lumma Stealer は、ロシア起源とされる別の情報窃取ツール Mars Stealer の後継ツールだと考えられています。Lumma Stealer は主に暗号通貨ウォレット、ブラウザのセッション Cookie、ブラウザの 2 要素認証拡張機能、保存されたファイル転送プロトコルサーバーアドレスと認証情報、その他のユーザーおよびシステムデータを標的としています。

他の情報窃取ツール (Raccoon Stealerなど) と同様に、Lumma Stealer は実行可能ファイルや PowerShell スクリプトを起動したり、自身のプロセスから悪意のある DLL をロードしたりすることで、追加のマルウェアの配信に使用されることもあります。通常 Lumma Stealer は侵害された Web サイト (多くの場合、偽の CAPTCHA Web ページ) からダウンロードされ、標的ユーザーはマルバタイジングを経由して Lumma Stealer にアクセスします。

Lumma Stealer は一般的に、広範なサイバー犯罪活動に関連しています。ロシア語のフォーラムで販売されている別の MaaS 情報窃取ツールである StealC は、ランサムウェアインシデントとの関連性が非常に高いことが確認されています。2023 年 1 月に登場したツールであり、RaccoonStealer および Vidar の模倣マルウェアとみなされています

地域的に注目すべきは、ラテンアメリカ (特にメキシコ) を標的にし続けている Mispadu Stealer です。2024 年第 2 四半期には Strela Stealer に次いで 2 番目に多く検出された情報窃取ツールであり、検出の 74% はメキシコからのものでした。 特にマクドナルドの Web 広告を装うなど、悪意のある Web 広告や検索広告を使用していることが確認されています。

上位のランサムウェア脅威

Stealc (information stealer)0.35% AsyncRAT (RAT with infostealer features) 0.53% More_eggs (RAT that can carry infostealer payload) 0.53% Brute Ratel C4 (red team C2 tool) 0.53% Metasploit (red team command and control tool) 0.70% Remcos (RAT) 0.70% FakeBat /EugenLoader (malware loader) 0.70% Sliver (red team C2 tool) 0.88% XMRIG (cryptocurrency miner) 1.05% SystemBC (proxy and RAT) 1.05% Gootloader (malware loader) 2.64% ChromeLoader (browser malware loader) 3.51% Lumma Stealer (information stealer) 4.57% Cobalt Strike (red team C2 tool with information stealing modules) 8.08% Web shell (malware deployment, command and control) 9.84%
図 24: Sophos Endpoint のお客様全体で最も頻繁に検出されたランサムウェアファミリ

 

Cicada33011.64% Mimic 1.64% Hunters International 2.19% INC Ransomware 2.19% 8Base 2.73% Qilin 3.28% Blacksuit 3.83% Faust 3.83% Crytox 4.37% Playcrypt 4.92% Black Basta 6.01% RansomHub 7.10% Fog 10.93% LockBit 13.66% Akira 15.30%
図 25: MDR および IR のインシデントで頻繁に確認されたランサムウェアファミリ

LockBit (の一種)

2024 年に最も多く検出されたランサムウェアファミリは LockBit でしたが、LockBit グループによる活動が原因ではありません。2024 年 2 月、米国と英国の法執行機関は、RaaS (サービスとしてのランサムウェア) グループのサーバーを押収し、メンバーのうち 2 人を逮捕、1 人を起訴することで、LockBit グループを壊滅したと発表しました。これを受けて、流出した LockBit 3.0 のコードに基づく多数の亜種が広く活動するようになり、結果として 2024 年初頭に LockBit の検出数が急増しました。しかし、3 月までに検出数は大幅に減少し、4 月から 5 月初旬にわずかに回復したのみに留まりました (ただし、LockBit の攻撃者が完全に消滅したわけではありません)。

LockBit 3.0 を使用していたグループは、EDR キラーやその他のマルウェアおよび手法を頻繁に使用し、エンドポイント保護の無効化を試みていました。初期アクセスの多くは侵害された VPN アカウント (中には VPN デバイス事態の脆弱性が原因となった事例もあります) や、管理外のデバイスから収集された認証情報を悪用してリモートアクセスを得る手法によるものでした。

A histogram of Lockbit variant ransomware detections with a spike in late February 2024.
図 26: 2024 年における 1 日あたりの LockBit 亜種の検出件数

Akira および Fog

実際のインシデントでは、2024 年には RaaS (サービスとしてのランサムウェア) の Akira が最多となり、最終的には LockBit が残した空白を埋める形となりました。2022 年に初めて確認された Akira による攻撃は、2023 年後半に急増しました。このグループとアフィリエイトは、2024 年を通して着実に活動を続け、8 月には Akira による検出がソフォスのお客様から報告されたランサムウェア検出件数の 17% を占めました。第 1、第 2 四半期と比べて、検出割合が 2 倍に増加したことを意味します。年末時点でも、Akira の検出件数は依然としてランサムウェア検出報告の 9% を占めていました。

注目すべきことに、Akira に関連するアフィリエイトが Fog、FragMegazord を含む他のランサムウェア亜種も展開していました。これらの攻撃者 (STAC5881 の攻撃者など) は通常、初期アクセスのために VPN を悪用することに重点を置いていました。Akira の標的は多くの事例において多要素認証のない VPN や誤った VPN ゲートウェイの設定を利用しており、攻撃者が侵害した認証情報や総当たり攻撃を用いてアクセスできるようになっていました。

Akira の活動は現在も続けていますが、かつて Akira に関連していたアフィリエイトが代替手段として Fog を使用することもありました。そのため、Fog は MDR および IR インシデントで確認されたランサムウェアファミリの上位 15 位中 3 位を占めています。

RansomHub

RansomHub もまた、2024 年のランサムウェア関連インシデントにおいて頭角を表しました。全体の検出件数では 6 位タイに留まりましたが、実際の MDR および IR インシデントでは、4 番目に多く確認されたランサムウェアファミリでした。

米国サイバーセキュリティ・社会基盤安全保障庁 (CISA) の #StopRansomware アドバイザリによると、2024 年 2 月から 8 月にかけて、RansomHub は「少なくとも 210 組の標的からデータを暗号化し、窃取した」とのことです。RansomHub に関連する Sophos MDR および IR 事例の大半は 2024 年の下半期に発生したもので、11 月にその数が急増しました。

大半の RansomHub 攻撃では、AnyDesk を含む他の正規のリモートデスクトップツールに加え、RDP が悪用されていました。報告された事例の中には、7 年前の Windows SMB リモートコード実行脆弱性 (CVE-2017-1444) を悪用した初期アクセスもありましたが、今回使用した Sophos MDR および IR の事例データでは確認されませんでした。RansomHub の事例で Sophos X-Ops が確認した初期アクセス手法には、外部で動作する Microsoft SQL Server を悪用してコマンドを実行する方法、外部に公開された RDP やリモートデスクトップ Web アクセスを悪用する方法、管理外のデバイスを侵害する方法などがありました。

Sean Gallagher
著者について

Sean Gallagher is Principal Threat Researcher, Sophos X-Ops. Prior to joining Sophos, he was an information security and technology journalist for over 30 years, including 10 as information security and national security editor for Ars Technica.

著者について

Anna Szalay is a senior threat researcher for Sophos X-Ops. She has been in the computer security field for more than two decades, and is currently focused on malware data classification and threat recognition.

関連記事を読む