日本IBM、「2013年上半期Tokyo SOC情報分析レポート」でドライブ・バイ・ダウンロード攻撃の急増を警告

CodeZine / 2013年8月26日 17時25分

 日本IBMは、ネットワーク・セキュリティ運用監視サービス「Managed Network Security Services(MNSS)」を提供する、世界10拠点の「IBMセキュリティー・オペレーション・センター(SOC)」において観測した、2013年上半期(1月~6月)のインターネット・セキュリティ情報に基づき、おもに国内の企業環境に影響を与える脅威の動向をまとめた「2013年上半期Tokyo SOC情報分析レポート」を26日に発表した。

 「2013年上半期Tokyo SOC情報分析レポート」では、改ざんされたWebサイトの閲覧によって、マルウェア(不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェア)に感染させられる攻撃手法であるドライブ・バイ・ダウンロード攻撃が、前期(2012年下半期)の約4.2倍となる3972件に増加したことを報告している。

 特にJRE(Oracle Java Runtime Environment)の脆弱性を悪用した攻撃が、前期では308件で全体の32.2%だったのに対し、今期は3192件で全体の80.4%を占め、前期の10.4倍となり、件数、割合ともに増加した。

 また、辞書/総当たり攻撃は、ログインIDとパスワードの組み合わせでログイン試行を繰り返し、有効な組み合わせを推測する攻撃手法のSSH・FTPサーバーへの辞書/総当たり攻撃が、依然として多く観測されている。送信元は、中国のIPアドレスからの攻撃が65%以上と最も多く、続いて米国(5.8%)、韓国(5.0%)という結果となった。

 さらに、攻撃対象サイトの情報に合わせたログインID、例えば攻撃対象のサイトが「example.jp」の場合には「example」や「examplejp」といった、攻撃対象サイトの情報に合わせたログイン試行を行っているケースが多く確認されている。

 ある特定の組織や個人に限定して不正なメールを送信する攻撃手法である標的型メール攻撃は、Tokyo SOCで標的型メール攻撃を解析した事例のほとんどに、暗号化された添付ファイルが使われていた。

 標的型メール攻撃は、前期149件、今期61件と、約4割に減少しているものの、攻撃そのものが減少したわけではなく、暗号化や難読化などによるセキュリティ機器の検知を回避する技術が一般的になり、セキュリティ機器だけでは攻撃を検知できない「見えない化」が進んだためと考えられる。

 攻撃者の侵入を発見するためには、明確な攻撃を発見・防御する従来のアプローチに加えて、セキュリティ機器でインフォメーションレベルのログを取得し、リアルタイムに相関分析を行って、その中から攻撃の痕跡を発見するアプローチが必要となっている。


CodeZine

トピックスRSS

ランキング