メール経由のワームは、これらのネットワーク上の全体的なマルウェア活動がゆっくりと減少しているにもかかわらず、産業用制御システム(ICS)に対する新たな一連の事件を引き起こしています。
2025年第4四半期の新しいデータは、フィッシング駆動型のXWormバックドア配布が、世界中の運用技術(OT)環境のリスク状況を急激に変えたことを示しています。
マルウェアがブロックされたICSコンピュータの割合は2024年初頭から低下し、2025年第4四半期に19.7%に低下しており、これは2022年以来の最低水準です。
地域別に見ると、2025年第4四半期にマルウェアがブロックされたICSシステムの割合は、北ヨーロッパの8.5%からアフリカの27.3%までの範囲であり、OTセキュリティの成熟度における持続的な地理的不平等を浮き彫りにしています。
報告書によると、過去3年間でこのメトリックは1.36倍減少し、2023年第4四半期以降は1.25倍減少しており、多くの環境の段階的な強化を示唆しています。
ほとんどの地域が低下を見た一方で、4つの地域が増加を記録し、南ヨーロッパと南アジアが最も顕著な成長を示しました。
東アジアは悪意あるスクリプトの局所的な拡散により2025年第3四半期に急激なスパイクを経験しましたが、その指標はその後典型的なレベルに戻りました。
メール経由ワームの急増
2025年第4四半期の際立った特徴は、すべての地域でメール添付ファイル経由で配信されるワームの世界的な増加でした。
このスパイクの大部分は、感染したシステムに持続し、攻撃者にリモートコントロール機能を提供するように設計されたワーム型バックドアであるBackdoor.MSIL.XWormに関連していました。
特に、このマルウェアは前四半期にICSコンピュータで観察されていなかったのに、2025年第4四半期にはすべての地域で同時に出現しました。
研究者たちは、この急速な拡散を、2024年以来「Curriculum-vitae-catalina」として知られている大規模なフィッシング大発生で使用される新しい難読化技術に結びつけています。
敵対者は、HR管理者、採用担当者、採用スタッフをターゲットにしたメール詐欺で、「履歴書」または「添付履歴書」のような件名を使用し、通常「Curriculum Vitae-Catalina.exe」という名前の悪意あるexeファイルを添付しました。実行されると、ファイルはシステムに感染し、XWormを通じてリモートアクセスを可能にしました。
メール駆動型ワーム大発生は、2025年第4四半期中に2つの波で展開され、10月と11月にピークに達しました。ロシア、西ヨーロッパ、南米、北米(特にカナダ)は10月に影響を受け、その後11月に他の地域でのブロックスパイクが続き、12月には活動が沈静化しました。
2025年第4四半期では、ブロックされたマルウェアを持つICSコンピュータの割合は、特にロシア、中央アジア、南コーカサスの油田とガス業界の1つの業種のみで増加しましたが、すべての調査対象産業全体の長期的な傾向は依然として下向きです。
Backdoor.MSIL.XWormがブロックされたICSコンピュータの最高の割合は、歴史的にICSシステムでのメール経由脅威の高レベルを記録してきた地域で見られました:南ヨーロッパ、南米、中東。
アフリカでは、産業環境でリムーバブルUSBメディアが広く使用されている場所で、XWormはそのようなデバイスがICSコンピュータに接続されたときにも検出され、メール以外の二次的な拡散を示しています。
全体的に、ワームがブロックされたICSコンピュータの割合は2025年第4四半期に1.6倍に跳ね上がり1.60%となり、南ヨーロッパが最大の増加を示し、2.16倍の上昇を記録しました。
産業、ソース、脅威の種類
バイオメトリクス部門は、システムの広い広範なインターネットアクセシビリティと多くの消費者組織での弱いサイバーセキュリティ管理により、ICS駆動型産業の中で最も露出されている産業の1つとしてランク付けされ続けています。
悪意あるドキュメントがブロックされたICSコンピュータの割合は、3四半期連続で増加しました。ただし、2025年第4四半期では0.22ポイント減少し、1.76%となりました。
ICS環境全体で、カスペルスキーソリューションは2025年第4四半期に10,142の異なるマルウェアファミリーをブロックし、ワームとWindows実行型マイナーの2つのカテゴリのみが四半期中に増加しました。
主な脅威ソースはインターネット、メールクライアント、リムーバブルメディアのままでしたが、2025年第4四半期までに、メール以外のすべてのソースから影響を受けたICSコンピュータの割合は3年間での最低レベルに低下しました。
インターネット経由の脅威はICSコンピュータの7.67%に低下し、メール経由の脅威は北ヨーロッパのICS機器の0.64%から南ヨーロッパの6.34%までの範囲であり、リムーバブルメディア脅威はオーストラリア・ニュージーランドの0.05%からアフリカの1.41%までの範囲でした。
ブロックリストされたインターネットリソースなどの初期感染ベクトルは、ICSコンピュータの3.26%に低下し、2022年以来の最低水準であり、2025年第2四半期より1.8倍低くなっています。
しかし、悪意あるスクリプトとフィッシングページは、世界中のICSコンピュータの6.58%で依然としてすべてのカテゴリを主導しており、南アジアは3.47ポイントの増加に続いて10.50%に達しました。
次段階マルウェア(スパイウェア3.80%、ランサムウェア0.16%、Webマイナー0.24%)がすべて減少した一方で、Windows実行型マイナーは0.60%にまで上昇し、幅広いエクスポージャーが縮小している可能性がある一方で、産業用システムに対する標的型の経済的動機付けられた攻撃がより特化していることを強化しています。
翻訳元: https://gbhackers.com/email-worm-threat-wave/
