日本IBMは3月5日、主に国内企業で観測された脅威の動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を発表した。
2014年下半期(7~12月)に観測したセキュリティイベント情報に基づいた動向を見ると、9月後半~11月前半にセキュリティアラートが増加。ここでは、オープンソースのシェル「GNU Bash」に潜む脆弱性「Shellshock」を狙う攻撃が発生したと説明する。
ShellShock攻撃では、サーバに対して分散型サービス妨害(DDoS)攻撃や迷惑メール(スパム)を送るボットを埋め込もうとする動きが確認され、Tokyo SOCの観測では、ボットを埋め込もうとする「不正なプログラム実行」による攻撃が全体の98.6%を占めたという。残りの1.4%は、パスワードなどの情報を取得することを目的にしたものだとしている。
日本IBM シニア・セキュリティー・アナリスト 猪股秀樹氏
「Bashは、UNIX系のOSで使用されているもので環境変数の処理に複数の脆弱性があり、遠隔から第三者が任意のコードを実行する可能性があった。CGIやDHCP、SMTPなどでBashを実行している場合があり、侵入経路が多岐にわたっていること、一部の脆弱性については9月25日の脆弱性情報の公開時に修正が不十分であり、その日からすぐに攻撃が始まったという問題が出ていた。攻撃は大きく3つのパターンに分類できた」(日本IBM シニア・セキュリティー・アナリスト 猪股秀樹氏)
10月中旬までは、多くの検知がHTTPサーバを対象に脆弱性の有無を調査する行為だったが、10月中旬~11月中旬にIRCによるコマンド&コントロール(C&C)通信を行うDDoSボットを動作させることを目的とした攻撃が大量に発生したという。12月4日からは特定のNAS製品を標的とした攻撃が増加し、TCP8080番ポートに対する攻撃の検知が増加したとしている。
「約100に渡る多数の国々のIPアドレスが送信元になっており、その数は約7000にのぼる。米国が最も多く、次いでドイツ、オランダとなる。送信元のIPアドレスだけで全体の約35%を占めている。最も検知数が多いURLは、Movable Typeの管理画面のデフォルトのURLを対象した攻撃。業種別では、15業種と幅広く攻撃を受けており、上半期に流行したHeartbleedでは、金融機関が8割以上を占めていたのに比べると傾向が異なる」と分析した。
止まらないマクロ悪用の攻撃
2014年上半期に21.9%の企業で確認されたドライブバイダウンロード攻撃の影響は、下半期は11.3%に減少。脆弱性を悪用しない攻撃手法への移行、改ざんされたウェブサイトの減少、企業での対策が進んだことなどの要因によるものとみている。「この下半期には、Javaの脆弱性について大きなものがなかったことも要因といえる。10月以降は1カ月あたり数十件に留まっている」という。
メール経由では、脆弱性を悪用しない攻撃も多く確認しているという。「Microsoft Office」のマクロを悪用したマルウェアや実行形式のファイルをそのまま送付する手法が使われているという。
「脆弱性を悪用する攻撃を含んだ添付ファイルは1.3%のみ。これに対して、実行形式のファイルを添付するものが全体の59.9%を占め、不正なマクロを含むWordドキュメントを添付した攻撃が38.8%となった。マルウェアのすべてはオンラインバンキングの情報搾取を目的としたもの。これだけ啓発活動を続けているにもかかわらず、マクロを実行してしまう事例は後を絶たないのが実態。業務上どうしてもマクロを有効にしておかなくてはならない企業もある。利用者に対する継続的な教育は必要だが、サンドボックスなどを活用して、あらかじめ不正な添付ファイルを開かせないといった対策も必要」
さらに、「脆弱性が公開されるとほぼ同時に攻撃コードが入手可能になっており、修正と回避策適用までのスピードが重要になっている。侵入されることを前提として情報ソースとなる分析システムが有効に機能としているのか、情報を迅速に分析できる運用体制が構築されているのかどうかといったことが重要になる」と指摘した。
日本IBM グローバル・テクノロジー・サービス事業本部Tokyo SOCセンター長 鳥谷部彰則氏
IBMは、東京をはじめとする世界10カ所にIBMセキュリティー・オペレーション・センター(SOC)を設置して、133カ国約4000社のユーザーで稼働している約2万台のシステム機器を分析し、脅威動向を観測。10年以上蓄積したセキュリティインテリジェンスを相関解析エンジン「X-Force Protection System」に実装し、1日あたり200億件、毎秒23万件というデータをリアルタイムで分析しているという。
「Tokyo SOCは、世界で3番目に設置され、今年で14年目になる。X-Force Protection Systemは、IBMのシステムだけでなく、マルチベンダーのシステムに対応できるものになっている」(日本IBM グローバル・テクノロジー・サービス事業本部Tokyo SOCセンター長 鳥谷部彰則氏)としている。