複雑化する脅威--必要なのは“見える化”と“インシデントハンドリング”

吉澤亨史 2014年03月06日 16時32分

  • このエントリーをはてなブックマークに追加

 日本IBMの「2013年下半期Tokyo SOC情報分析レポート」(3月5日発表)を見ると、企業を狙う脅威がいかに複雑であるかが見て取れる。

 同社グローバル・テクノロジー・サービス事業、Tokyo SOC技術担当部長(CTO)である佐藤功陛氏は「特にクライアントPCへの攻撃の“見えない化”が進んでいる」と傾向を説明した。攻撃者は難読化やパスワードと暗号化、偽装などの技術で攻撃を正常なウェブやメールの通信に見せかけている。

 こういった攻撃を“見える化”するためには、攻撃アラートと膨大な関連ログを取得し、相関分析することが必要であるとし、同社ではこれを“セキュリティ 3.0”としている。佐藤氏は同レポートから読み取れる3つのポイントがあると指摘した。

 1つめは「Apache Struts 2の脆弱性を狙った攻撃が2.3倍に増加」。2013年下半期(7~12月)は、Apache Struts 2やParallels Plesk Panel、PHPといったミドルウェアの脆弱性を狙う攻撃が2013年上半期(1~6月)の2.3倍(6万8527件)となっている。

 この攻撃は、管理アカウントの奪取を目的としたもので、コンテンツ管理システム(CMS)やフレームワーク、管理ツールといったミドルウェアは汎用的に使われているため、攻撃者にとって効率的であると佐藤氏は指摘する。最近の攻撃者は効率の悪い攻撃はしなくなっているという。

佐藤功陛氏
日本IBM グローバル・テクノロジー・サービス事業 Tokyo SOC CTO 佐藤功陛氏

 2つめが「『ドライブ・バイ・ダウンロード攻撃』は2012年下半期比2倍」。この攻撃は情報の窃取と売買を目的としたもので、効率を高めるために正規のウェブサイトを改ざんし、さらに攻撃用のウェブサーバをもう1台用意している。これらにユーザーを誘導することで感染させようとする。

 ユーザーのPCに脆弱性があれば、サイトを見ただけで感染させられる。2013年1~6月は非常に攻撃が多かったので、2013年7~12月は減少しているように見える。だが、2012年7~12月と比較すると2倍の件数であり、決して少なくない数字であるとした。

 ドライブ・バイ・ダウンロード攻撃で悪用された脆弱性は、JRE(Java)の脆弱性が89.4%を占めた。脆弱性を解消するためのアップデートは常に行われているが、Javaのアプリケーションは非常に多くあり、最新版にアップデートするためにはシステムの改修や検証に手間がかかる、あるいは開発した担当者がすでにいない、開発を依頼した業者との契約が切れているといった理由から、素早くアップデートすることが難しい状況にある。ドライブ・バイ・ダウンロード攻撃の成功率は12.2%と高い。

 3つめとして「ウェブを侵入経路とした『日本の特定組織向け標的型攻撃』を確認」を挙げた。最近、「GOM Player」の正規のアップデートからマルウェアに感染させる攻撃が話題になったが、同社の調査によるとGOM Playerを使用していた23組織のうち、マルウェアのダウンロードが確認されたのは1社だけだったという。

 このことから、単一の組織を狙った標的型攻撃である可能性が高いとしている。この攻撃について佐藤氏は「OSやアプリケーションの脆弱性を悪用しない、非常に検出が難しい攻撃」であると警鐘を鳴らした。

 佐藤氏はレポートのまとめとして、高度な攻撃に対応するためには“見える化”と“インシデントハンドリング”が必要であるとした。特にインシデントハンドリングのためには、適切に実施できる体制構築と事前準備が重要であり、“モニタリング、トリアージ、レスポンス”の3つの段階を整備していく必要があるとした。

 同レポートは、東京を含む世界10カ所のセキュリティ監視センター(SOC)で2013年7~12月に観測したセキュリティイベント情報に基づき、主として国内の企業環境で観測された脅威動向をまとめた。日本では約400社、約650台の不正侵入防止システム(IPS)などから得られたデータをもとにしている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]