日本IBMは2015年9月4日、主に国内企業・組織で観測されたセキュリティ脅威動向を集計・分析した2015年上半期の「Tokyo SOC情報分析レポート」を発表した。日本年金機構の情報漏洩事件で大きく報じられたメール添付型マルウェア/標的型攻撃やドライブ・バイ・ダウンロード攻撃、身代金要求型のランサムウェアなどの動向が報告されている。
IBM SOCは130カ国以上/約4000社の顧客が運用するシステムに対し、セキュリティーイベントを分析することにより、脅威への対策を支援している。同組織は、10年以上蓄積されてきたセキュリティインテリジェンスを、同社の相関解析エンジン「X-Force Protection System」に取り込むことで、1日あたり200億件(毎秒約23万件)以上の膨大なデータをリアルタイムで相関分析している。
Tokyo SOC情報分析レポートは、東京を含む全世界10拠点にあるIBMセキュリティー・オペレーション・センター(SOC)において観測したセキュリティーイベント情報を基にした分析・示唆を、特に日本国内の動向にフォーカスして半期ごとにまとめたものだ。なお、今回は、「2015年上半期Tokyo SOC情報分析レポート」に加えて、「IBM X-Force 脅威に対するインテリジェンス・レポート:2015年第3四半期(英語版)」も公開している。IBM X-Forceは、民間セキュリティー研究開発チームの1つとして、膨大な量のイベントやマルウェアのサンプルをリアルタイムで相関分析し、脅威や脆弱性の研究と監視に取り組んでいる。
Tokyo SOCがまとめた2015年上半期Tokyo SOC 情報分析レポートでのハイライトは以下のとおりとなっている。
メール添付型のマルウェア通信を多数検知
2015年6月、日本年金機構の情報漏洩事件でメール経由でのマルウェア感染が大きく取り上げられた。Tokyo SOCでもメール添付型のマルウェアに感染した端末が外部サーバーと通信するケースを検知している。Tokyo SOCでは、「標的型攻撃に対して防御だけを目的とした既存の対策に限界があり、一方、ばらまき型のメールウイルスに関しても不審なメールを開封しないようにコントロールすることが難しいことがわかる。まさに感染を想定した運用管理体制の構築が急務だ」と警告している。
約40%の組織でドライブ・バイ・ダウンロード攻撃を確認
2014年下半期に減少していたドライブ・バイ・ダウンロード攻撃が再び増加傾向を示し、攻撃が確認された組織は前期の16.9%から40.5%に増加した。また、誘導元として改竄されたWebページ以外に、広告配信ネットワークを悪用してマルウェア感染サイトにリダイレクトするケースも見られたとのことだ。なお、観測されたドライブ・バイ・ダウンロード攻撃の90%以上が「Adobe Flash Player」の脆弱性を悪用するものだったという。
相次ぐ新脆弱性の発見に加えて、過去の脆弱性への攻撃も継続
今半期は、「GHOST」「FREAK」「Logjam」「VENOM」といった新たな脆弱性が発見されるとともに、2014年の「ShellShock」や「Heartbleed」も継続して攻撃を検知している。「脆弱性の公開直後から攻撃が発生する傾向にも変わりはないため、平時の情報収集やアセット管理の重要性が再認識された」(Tokyo SOC)
次に、X-ForceがまとめたIBM X-Force脅威に対するインテリジェンス・レポート:2015年第3四半期では、以下のような報告が上げられている。
価値の高いユーザー/コミュニティを狙うランサムウェア
ランサムウェア(Ransomware:身代金要求型のマルウェア)は、ターゲットとして価値の高いユーザー/コミュニティを攻撃するために特定のファイル形式を狙うように進化している。一例としてX-Forceは、オンラインゲーム関連のユーザーファイルを狙うことで、オンラインゲーマーおよびそのコミュニティをターゲットにした「TeslaCrypt」を挙げている。
Torが不正目的に使用される
大規模なサイバー脅威を引き起こす犯罪者たちが、匿名で通信可能なTor(トーア)技術を使用するようになった。Torが提供する攻撃基盤により、匿名の攻撃者として悪意のあるボットネットの操作を、悪質なネットワークや転送に利用することが可能になる。「Torを難読化すると不法行為者の匿名性をさらに強化することになる。また、攻撃の物理的な出どころをわかりにくくし、特定の地域から攻撃しているように見せかける」(X-Force)
上半期で約4000件の脆弱性発見、2015年は2011年以来の最低値か
2015年上半期は約4000件の新しいセキュリティ脆弱性が検出された。現在の傾向が続けば、予想される脆弱性の年間公表件数は約8000件となり、2011年以来最も低い数値となるという。
両レポートはIBMのWebサイトから無料でダウンロードして参照することができる。ダウンロードページは、「2015年上半期 Tokyo SOC情報分析レポート」と「IBM X-Force 脅威に対するインテリジェンス・レポート:2015年第3四半期(英語版)」である。