日本IBMの「2013年下半期Tokyo SOC情報分析レポート」(3月5日発表)を見ると、企業を狙う脅威がいかに複雑であるかが見て取れる。
同社グローバル・テクノロジー・サービス事業、Tokyo SOC技術担当部長(CTO)である佐藤功陛氏は「特にクライアントPCへの攻撃の“見えない化”が進んでいる」と傾向を説明した。攻撃者は難読化やパスワードと暗号化、偽装などの技術で攻撃を正常なウェブやメールの通信に見せかけている。
こういった攻撃を“見える化”するためには、攻撃アラートと膨大な関連ログを取得し、相関分析することが必要であるとし、同社ではこれを“セキュリティ 3.0”としている。佐藤氏は同レポートから読み取れる3つのポイントがあると指摘した。
1つめは「Apache Struts 2の脆弱性を狙った攻撃が2.3倍に増加」。2013年下半期(7~12月)は、Apache Struts 2やParallels Plesk Panel、PHPといったミドルウェアの脆弱性を狙う攻撃が2013年上半期(1~6月)の2.3倍(6万8527件)となっている。
この攻撃は、管理アカウントの奪取を目的としたもので、コンテンツ管理システム(CMS)やフレームワーク、管理ツールといったミドルウェアは汎用的に使われているため、攻撃者にとって効率的であると佐藤氏は指摘する。最近の攻撃者は効率の悪い攻撃はしなくなっているという。
日本IBM グローバル・テクノロジー・サービス事業 Tokyo SOC CTO 佐藤功陛氏
2つめが「『ドライブ・バイ・ダウンロード攻撃』は2012年下半期比2倍」。この攻撃は情報の窃取と売買を目的としたもので、効率を高めるために正規のウェブサイトを改ざんし、さらに攻撃用のウェブサーバをもう1台用意している。これらにユーザーを誘導することで感染させようとする。
ユーザーのPCに脆弱性があれば、サイトを見ただけで感染させられる。2013年1~6月は非常に攻撃が多かったので、2013年7~12月は減少しているように見える。だが、2012年7~12月と比較すると2倍の件数であり、決して少なくない数字であるとした。
ドライブ・バイ・ダウンロード攻撃で悪用された脆弱性は、JRE(Java)の脆弱性が89.4%を占めた。脆弱性を解消するためのアップデートは常に行われているが、Javaのアプリケーションは非常に多くあり、最新版にアップデートするためにはシステムの改修や検証に手間がかかる、あるいは開発した担当者がすでにいない、開発を依頼した業者との契約が切れているといった理由から、素早くアップデートすることが難しい状況にある。ドライブ・バイ・ダウンロード攻撃の成功率は12.2%と高い。
3つめとして「ウェブを侵入経路とした『日本の特定組織向け標的型攻撃』を確認」を挙げた。最近、「GOM Player」の正規のアップデートからマルウェアに感染させる攻撃が話題になったが、同社の調査によるとGOM Playerを使用していた23組織のうち、マルウェアのダウンロードが確認されたのは1社だけだったという。
このことから、単一の組織を狙った標的型攻撃である可能性が高いとしている。この攻撃について佐藤氏は「OSやアプリケーションの脆弱性を悪用しない、非常に検出が難しい攻撃」であると警鐘を鳴らした。
佐藤氏はレポートのまとめとして、高度な攻撃に対応するためには“見える化”と“インシデントハンドリング”が必要であるとした。特にインシデントハンドリングのためには、適切に実施できる体制構築と事前準備が重要であり、“モニタリング、トリアージ、レスポンス”の3つの段階を整備していく必要があるとした。
同レポートは、東京を含む世界10カ所のセキュリティ監視センター(SOC)で2013年7~12月に観測したセキュリティイベント情報に基づき、主として国内の企業環境で観測された脅威動向をまとめた。日本では約400社、約650台の不正侵入防止システム(IPS)などから得られたデータをもとにしている。