2025年6月、グローバルで最も流行したマルウェアは「FakeUpdates」──CPR調査

　チェック・ポイント・ソフトウェア・テクノロジーズ（以下、チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（以下、CPR）は、2025年6月の最新版Global Threat Index（世界脅威インデックス）を発表した。

主な調査結果

• AsyncRATは、2025年6月も脅威ランキングの上位を維持し続けており、Discordなどの信頼されたプラットフォームを悪用したペイロードの配信とデータ窃取を行っているという。AsyncRATによって、攻撃者は感染したシステムにリモートでアクセスし、制御することが可能だとしている
•  FakeUpdatesは依然として世界で最も流行しているマルウェアであり、ハッキンググループのEvil Corpと関連があり、ドライブバイダウンロードによって拡散するという。感染後に様々な二次ペイロードを配信するとのことだ
• RaaS（サービスとしてのランサムウェア）グループであるQilinは、医療や教育・研究分野など価値の高い業界を標的とし続けており、フィッシングメールを利用してネットワークに侵入し、機密データを暗号化するという

国内で活発な上位のマルウェアファミリー 

　矢印は、前月と比較した順位の変動を示している。

1. ↑ Androxgh0st（3.36％）：Androxgh0stはパイソンベースのマルウェアで、AWS、Twilio、Office 365、SendGridなどのサービスに関するログイン認証情報など、機密情報を含む公開された「.envファイル」をスキャンすることで、Laravel PHPフレームワークを使用するアプリケーションを標的にするという。ボットネットを利用してLaravelを実行しているウェブサイトを特定し、機密データを抽出することで動作するとしている。アクセス権を獲得すると、攻撃者は追加のマルウェアの展開、バックドア接続の確立、暗号通貨マイニングなどの活動のためのクラウドリソースの悪用が可能になるとのことだ
2. ↓ FakeUpdates（1.81％）：FakeUpdates（別名、SocGholish）は、2018年に初めて発見されたダウンローダー型マルウェア。感染したウェブサイトや悪意あるウェブサイトのドライブバイダウンロードによって拡散され、ユーザーに偽のブラウザアップデートをインストールするよう促すとしている。FakeUpdatesはロシアのハッキンググループEvil Corpと関連していると見られ、感染後のペイロード配信に使用されるという
3. ↑ AgentTesla（1.29％）：AgentTeslaはキーロガーとインフォスティーラーとしての機能を有する高度なRATで、被害者のキーボード入力やシステムキーボードの監視とデータ収集、スクリーンショットの撮影、また被害者のデバイスにインストールされている様々なソフトウェア（Google Chrome、Mozilla Firefox、Microsoft Outlookなど）を通じて認証情報を抽出するとのことだ

グローバルで活発な上位のマルウェアファミリー

1. ↔ FakeUpdates：FakeUpdates（別名、SocGholish）は、2018年に初めて発見されたダウンローダー型マルウェア。感染したウェブサイトや悪意あるウェブサイトのドライブバイダウンロードによって拡散され、ユーザーに偽のブラウザアップデートをインストールするよう促すとしている。FakeUpdatesはロシアのハッキンググループEvil Corpと関連していると見られ、感染後のペイロード配信に使用されるという
2. ↑ Androxgh0st：Androxgh0stはパイソンベースのマルウェアで、AWS、Twilio、Office 365、SendGridなどのサービスに関するログイン認証情報など、機密情報を含む公開された「.envファイル」をスキャンすることで、Laravel PHPフレームワークを使用するアプリケーションを標的にするという。ボットネットを利用してLaravelを実行しているウェブサイトを特定し、機密データを抽出することで動作するとしている。アクセス権を獲得すると、攻撃者は追加のマルウェアの展開、バックドア接続の確立、暗号通貨マイニングなどの活動のためのクラウドリソースの悪用が可能になるとのことだ
3. ↑ AsyncRAT：リモートアクセス型トロイの木馬（RAT）のAsyncRATは、急速に知名度を上げているという。このマルウェアはデータ窃盗やシステム侵害に使用され、攻撃者がプラグインのダウンロードやプロセスの停止、スクリーンショットなどのコマンドを実行することを可能にするとしている

最も活発なランサムウェアグループ

1. Qilin：Qilin（別名、Agenda）は現在ランサムウェアのトップグループであり続けており、2025年6月には攻撃全体の17％を占めているという。このRaaS（サービスとしてのランサムウェア）グループは大企業を標的とした攻撃に特化しており、特に医療や教育・研究分野の企業をターゲットにしているとのことだ
2. Akira：2023年初頭に登場したAkiraは、ランサムウェア攻撃の9％を占めているという。このグループはVPNエンドポイントの脆弱性を悪用し、データを「.akira」拡張子で暗号化するとしている
3. Play：Playランサムウェアは依然として重大な脅威であり、ランサムウェア攻撃の6％を占めているという。侵害された有効なアカウントや、Fortinet SSL VPNを含む未パッチの脆弱性を通じて組織を標的にするとしている

モバイルマルウェアのトップ

1. Anubis：Anubisは、最も流行しているモバイルマルウェアであり、多要素認証（MFA）を回避し、銀行の認証情報を盗み出す能力で知られているという。Anubisは多くの場合、Google Playストアで入手可能な悪意あるアプリを通じて配布されているとのことだ
2. AhMyth：Android向けのリモートアクセス型トロイの木馬（RAT）であるAhMythは、正規のアプリに偽装されており、攻撃者にアクセスを許可して、バンキングサービスの認証情報やMFAコードの流出、キーログや画面キャプチャなどの実行を可能にするとしている
3. Hydra：バンキング型トロイの木馬であるHydraが3位に上昇。被害者に危険な権限を要求し、バンキングアプリにアクセスして認証情報を盗み取るとしている

世界的に最も攻撃されている業種および業界

1. 教育・研究：教育・研究部門は依然として世界的に最も標的とされている業界であり、教育機関はその大規模なユーザーベースと重要なインフラのために、攻撃に対して脆弱になっているという
2. 政府関係：政府関係の機関は、その機密データと、公共部門としての責任により、依然として主要なターゲットとなっているとした
3. 通信：電気通信部門は、膨大な量の機密データや通信インフラを狙うサイバー犯罪者たちの絶え間ない脅威に直面しているという

国ごとの脅威インデックス

　下の地図は、世界のリスク指数（濃い赤色ほどリスクが高い）を示したもので、主な高リスク地域が把握できるとしている。

　チェック・ポイントの2025年6月のグローバルリスクマップによると、東欧やラテンアメリカなどの地域でマルウェアの活動が活発化しており、特にFakeUpdatesやPhorpiexの感染が増加。アジアでは、ネパールやベトナムなどの国々でRemcosやAgentTeslaが関与する攻撃が増加していることが報告されているという。西欧では、特にスペインとフランスにおいて、LummaインフォスティーラーとRaspberry Robinの感染が急増しているとのことだ。

【関連記事】
・攻撃者の標的はクラウドリソースに集中、人為的ミスがセキュリティインシデントの主な要因──タレス調査
・AIセーフティ・インスティテュート、ビジョンペーパーを公開　信頼とイノベーションの両立実現を目指す
・Silk Typhoon関与の男が逮捕、Google脅威インテリジェンスグループが声明