SafePayが最活発ランサムウェアに急浮上、FakeUpdatesは依然最多感染―Check Point調査
finbridge_adminチェック・ポイントの脅威インテリジェンス部門Check Point Research(CPR)は25日、2025年5月の「Global Threat Index」を公表した。最大の特徴は、2024年11月に姿を現した新興ランサムウェアグループ「SafePay」が、二重恐喝型攻撃を武器にわずか半年で「最も活発なグループ」の座に就いた点である。SafePayはRaaS(サービスとしてのランサムウェア)形式を取らず中央集権的に運営されているとされ、被害組織のファイル暗号化と情報流出を同時に行うことで支払い圧力を高める。
一方、最も広範に拡散したマルウェアは前月に続き「FakeUpdates(SocGholish)」だった。感染したウェブサイト経由でユーザーに偽ブラウザ更新を促し、追加ペイロードを投入する手口で、世界では組織の5%、国内でも3.26%に影響を与えた。
国内上位のマルウェアは①FakeUpdates(3.26%)②Androxgh0st(2.51%)③Remcos(2.01%)。Androxgh0stはLaravel環境を標的とするPython製情報窃取型で、公開された.envファイルからクラウド認証情報を奪取する。Remcosはフィッシング文書で配布される古参RATだが、UAC回避により高権限で実行されるため依然脅威となっている。
報告書は5月に実施されたユーロポール、FBI、Microsoftなどによる情報窃取型MaaS「Lumma」の大規模摘発にも言及する。数千の関連ドメインが押収され、運営基盤に混乱を与えたものの、開発者は速やかな復旧を主張しており、長期的な抑止効果には不透明感が残る。CPRは「摘発は技術的打撃に加え利用者の信用を揺さぶる心理戦でもある」と分析する。
業界別では「教育・研究」が4カ月連続で最多攻撃を受け、次いで「政府・軍関係」「通信」が続く。広範なネットワークと厳しい予算制約を抱える教育機関は、SafePayなどの格好の標的となっているとみられる。
CPRのロテム・フィンケルシュタイン脅威インテリジェンス担当ディレクターは「攻撃は多段階化し巧妙さを増している。リアルタイムの脅威インテリジェンスと多層防御により、常に一歩先を行く姿勢が不可欠だ」と警鐘を鳴らす。組織はエンドポイント、クラウド、モバイルを横断する防止優先型セキュリティ体制の整備を急ぐ必要がある。
添付画像一覧
