日本IBMは3月5日、東京を含む世界10カ所のIBMセキュリティオペレーションセンター(SOC)で2013年下半期(7月~12月)に観測したセキュリティイベント情報に基づき、主として国内の企業環境で観測された脅威動向をまとめた「2013年下半期Tokyo SOC情報分析レポート」を発表した。
Tokyo SOC情報分析レポートは、世界130カ国以上の顧客システムのセキュリティイベントをSOCの解析エンジンで分析した結果に、日本国内の動向にフォーカスして独自の見解を加えて半年ごとに公表している。
2013年下半期のTokyo SOC情報分析レポートによる主な動向は以下の通り。
ドライブバイダウンロード攻撃は2012年下半期比2倍
改ざんされたウェブサイトの閲覧によりマルウェア感染させられる「ドライブバイダウンロード攻撃(見ただけ感染)」は1922件で、2012年下半期(956件)と比較して2倍の件数となった。また、ドライブバイダウンロード攻撃の成功によって、マルウェアをダウンロードした件数が234件、成功率は12.2%だった。2013年上半期は総数3972件、成功数523件、成功率13.2%であり、継続して多数の攻撃が検知され、攻撃成功率の高い攻撃が頻発していた。さらに、マルウェアが海外のウェブサイトからだけでなく、日本のサイトからも配布されるようになった。
ウェブを侵入経路とした「日本の特定組織向け標的型攻撃」を確認
特定組織を標的とする攻撃の侵入経路として、メールだけでなくウェブを利用する攻撃が確認された。2014年1月上旬に、GRETECH社のGOM Playerのアップデート通信でマルウェアに感染させられる事例が話題となったが、Tokyo SOCではGOM Playerのアップデート通信が確認された23組織のうち1組織のみでマルウェアのダウンロードを確認しており、特定の組織が標的とされている実態が浮かび上がった。
Apache Struts2の脆弱性を狙った攻撃が2.3倍に増加
2013年下半期では、ウェブアプリケーションフレームワークやコンテンツマネジメントシステム(CMS)の脆弱性を狙ったウェブサイトの改ざんが増加した。特にApache Struts2の脆弱性を狙った攻撃は、2013年上半期が3万425件に対し、同下半期が6万8527件と2.3倍に増加していた。
Tokyo SOCでは、攻撃者が攻撃の効率を強く意識して攻撃の「見えない化」が進む中、高度な攻撃を「見える化」するためには、セキュリティ機器のアラート情報を分析するだけでなく、脅威の仕組み(シナリオ)を理解した上で、システム横断的にログを収集し、セキュリティ機器のアラート情報と相関分析することが重要だとしている。