日本IBMは2014年3月5日、国内企業を狙うセキュリティ脅威の動向をまとめた「2013年下半期Tokyo SOC情報分析レポート」を発表した。2013年下半期は、公開Webサーバーのミドルウェアを狙った攻撃と、ドライブ・バイ・ダウンロード攻撃も目立った。また、新しく2つのタイプの標的型攻撃が見つかった。
IBMは、東京を含む世界10か所にIBMセキュリティ・オペレーション・センター(SOC)を設置。130カ国以上の企業に対し、サイバー攻撃のモニタリングなどのサービスを提供している。
各SOCが2013年下半期(7~12月)に観測したデータを分析したものを「2013年下半期Tokyo SOC情報分析レポート」としてまとめた。2013年下半期のトレンドは主に3つある。
ミドルウェアを狙った攻撃が急増
1つめは、ミドルウェアを狙った攻撃の増加である。CMS(Contents Management System)や開発フレームワーク、管理ツールなど、Webアプリケーションを動かすための基盤を攻撃して、情報を引き出すケースが増えた。
特に目立ったのは、JavaのWebアプリケーションフレームワークである「Apache Struts 2」に対する攻撃だ。2013年下半期は、6万8527件の攻撃を観測。上半期と比べても2.3倍に増えている。Webサイトの管理ソフト「Parallels Plesk Panel」や、PHPへの攻撃も目立つ。こうしたミドルウェアの脆弱性を突く機能が、主要な攻撃ツールに搭載されたことが影響しているとみられる。
ミドルウェアに対する攻撃が増えた背景には、「効率性の高さ」が関係しているとみられる。これまで、もっぱら攻撃の対象となってきたWebアプリケーションは、企業によって千差万別。脆弱性もまちまちなので、攻撃対象ごとに攻めるべきポイントを絞り込まなければならず、それに時間を要する。
一方、ミドルウェアの場合は同じ製品を利用している企業も少なくない。発見した脆弱性を他でも使いまわせるため効率が良いのだ。ミドルウェアよりも下位にあるOSやWebサーバーでも同じことが言えるが、これらはセキュリティ対策が比較的進んでいる。そうした事情が、ミドルウェアへの攻撃を増加させている。