Heartbleedと異なる傾向--2014年下期、「Shellshock」狙った攻撃が広範囲に

大河原克行 2015年03月05日 19時42分

  • このエントリーをはてなブックマークに追加

 日本IBMは3月5日、主に国内企業で観測された脅威の動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を発表した。

 2014年下半期(7~12月)に観測したセキュリティイベント情報に基づいた動向を見ると、9月後半~11月前半にセキュリティアラートが増加。ここでは、オープンソースのシェル「GNU Bash」に潜む脆弱性「Shellshock」を狙う攻撃が発生したと説明する。

 ShellShock攻撃では、サーバに対して分散型サービス妨害(DDoS)攻撃や迷惑メール(スパム)を送るボットを埋め込もうとする動きが確認され、Tokyo SOCの観測では、ボットを埋め込もうとする「不正なプログラム実行」による攻撃が全体の98.6%を占めたという。残りの1.4%は、パスワードなどの情報を取得することを目的にしたものだとしている。

猪股秀樹氏
日本IBM シニア・セキュリティー・アナリスト 猪股秀樹氏

 「Bashは、UNIX系のOSで使用されているもので環境変数の処理に複数の脆弱性があり、遠隔から第三者が任意のコードを実行する可能性があった。CGIやDHCP、SMTPなどでBashを実行している場合があり、侵入経路が多岐にわたっていること、一部の脆弱性については9月25日の脆弱性情報の公開時に修正が不十分であり、その日からすぐに攻撃が始まったという問題が出ていた。攻撃は大きく3つのパターンに分類できた」(日本IBM シニア・セキュリティー・アナリスト 猪股秀樹氏)

 10月中旬までは、多くの検知がHTTPサーバを対象に脆弱性の有無を調査する行為だったが、10月中旬~11月中旬にIRCによるコマンド&コントロール(C&C)通信を行うDDoSボットを動作させることを目的とした攻撃が大量に発生したという。12月4日からは特定のNAS製品を標的とした攻撃が増加し、TCP8080番ポートに対する攻撃の検知が増加したとしている。

 「約100に渡る多数の国々のIPアドレスが送信元になっており、その数は約7000にのぼる。米国が最も多く、次いでドイツ、オランダとなる。送信元のIPアドレスだけで全体の約35%を占めている。最も検知数が多いURLは、Movable Typeの管理画面のデフォルトのURLを対象した攻撃。業種別では、15業種と幅広く攻撃を受けており、上半期に流行したHeartbleedでは、金融機関が8割以上を占めていたのに比べると傾向が異なる」と分析した。

止まらないマクロ悪用の攻撃

 2014年上半期に21.9%の企業で確認されたドライブバイダウンロード攻撃の影響は、下半期は11.3%に減少。脆弱性を悪用しない攻撃手法への移行、改ざんされたウェブサイトの減少、企業での対策が進んだことなどの要因によるものとみている。「この下半期には、Javaの脆弱性について大きなものがなかったことも要因といえる。10月以降は1カ月あたり数十件に留まっている」という。

 メール経由では、脆弱性を悪用しない攻撃も多く確認しているという。「Microsoft Office」のマクロを悪用したマルウェアや実行形式のファイルをそのまま送付する手法が使われているという。

 「脆弱性を悪用する攻撃を含んだ添付ファイルは1.3%のみ。これに対して、実行形式のファイルを添付するものが全体の59.9%を占め、不正なマクロを含むWordドキュメントを添付した攻撃が38.8%となった。マルウェアのすべてはオンラインバンキングの情報搾取を目的としたもの。これだけ啓発活動を続けているにもかかわらず、マクロを実行してしまう事例は後を絶たないのが実態。業務上どうしてもマクロを有効にしておかなくてはならない企業もある。利用者に対する継続的な教育は必要だが、サンドボックスなどを活用して、あらかじめ不正な添付ファイルを開かせないといった対策も必要」

 さらに、「脆弱性が公開されるとほぼ同時に攻撃コードが入手可能になっており、修正と回避策適用までのスピードが重要になっている。侵入されることを前提として情報ソースとなる分析システムが有効に機能としているのか、情報を迅速に分析できる運用体制が構築されているのかどうかといったことが重要になる」と指摘した。

鳥谷部彰則氏
日本IBM グローバル・テクノロジー・サービス事業本部Tokyo SOCセンター長 鳥谷部彰則氏

 IBMは、東京をはじめとする世界10カ所にIBMセキュリティー・オペレーション・センター(SOC)を設置して、133カ国約4000社のユーザーで稼働している約2万台のシステム機器を分析し、脅威動向を観測。10年以上蓄積したセキュリティインテリジェンスを相関解析エンジン「X-Force Protection System」に実装し、1日あたり200億件、毎秒23万件というデータをリアルタイムで分析しているという。

 「Tokyo SOCは、世界で3番目に設置され、今年で14年目になる。X-Force Protection Systemは、IBMのシステムだけでなく、マルチベンダーのシステムに対応できるものになっている」(日本IBM グローバル・テクノロジー・サービス事業本部Tokyo SOCセンター長 鳥谷部彰則氏)としている。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
IT部門の苦悩
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算