Heartbleedと異なる傾向--2014年下期、「Shellshock」狙った攻撃が広範囲に

大河原克行

2015-03-05 19:42

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 日本IBMは3月5日、主に国内企業で観測された脅威の動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を発表した。

 2014年下半期(7~12月)に観測したセキュリティイベント情報に基づいた動向を見ると、9月後半~11月前半にセキュリティアラートが増加。ここでは、オープンソースのシェル「GNU Bash」に潜む脆弱性「Shellshock」を狙う攻撃が発生したと説明する。

 ShellShock攻撃では、サーバに対して分散型サービス妨害(DDoS)攻撃や迷惑メール(スパム)を送るボットを埋め込もうとする動きが確認され、Tokyo SOCの観測では、ボットを埋め込もうとする「不正なプログラム実行」による攻撃が全体の98.6%を占めたという。残りの1.4%は、パスワードなどの情報を取得することを目的にしたものだとしている。

猪股秀樹氏
日本IBM シニア・セキュリティー・アナリスト 猪股秀樹氏

 「Bashは、UNIX系のOSで使用されているもので環境変数の処理に複数の脆弱性があり、遠隔から第三者が任意のコードを実行する可能性があった。CGIやDHCP、SMTPなどでBashを実行している場合があり、侵入経路が多岐にわたっていること、一部の脆弱性については9月25日の脆弱性情報の公開時に修正が不十分であり、その日からすぐに攻撃が始まったという問題が出ていた。攻撃は大きく3つのパターンに分類できた」(日本IBM シニア・セキュリティー・アナリスト 猪股秀樹氏)

 10月中旬までは、多くの検知がHTTPサーバを対象に脆弱性の有無を調査する行為だったが、10月中旬~11月中旬にIRCによるコマンド&コントロール(C&C)通信を行うDDoSボットを動作させることを目的とした攻撃が大量に発生したという。12月4日からは特定のNAS製品を標的とした攻撃が増加し、TCP8080番ポートに対する攻撃の検知が増加したとしている。

 「約100に渡る多数の国々のIPアドレスが送信元になっており、その数は約7000にのぼる。米国が最も多く、次いでドイツ、オランダとなる。送信元のIPアドレスだけで全体の約35%を占めている。最も検知数が多いURLは、Movable Typeの管理画面のデフォルトのURLを対象した攻撃。業種別では、15業種と幅広く攻撃を受けており、上半期に流行したHeartbleedでは、金融機関が8割以上を占めていたのに比べると傾向が異なる」と分析した。

止まらないマクロ悪用の攻撃

 2014年上半期に21.9%の企業で確認されたドライブバイダウンロード攻撃の影響は、下半期は11.3%に減少。脆弱性を悪用しない攻撃手法への移行、改ざんされたウェブサイトの減少、企業での対策が進んだことなどの要因によるものとみている。「この下半期には、Javaの脆弱性について大きなものがなかったことも要因といえる。10月以降は1カ月あたり数十件に留まっている」という。

 メール経由では、脆弱性を悪用しない攻撃も多く確認しているという。「Microsoft Office」のマクロを悪用したマルウェアや実行形式のファイルをそのまま送付する手法が使われているという。

 「脆弱性を悪用する攻撃を含んだ添付ファイルは1.3%のみ。これに対して、実行形式のファイルを添付するものが全体の59.9%を占め、不正なマクロを含むWordドキュメントを添付した攻撃が38.8%となった。マルウェアのすべてはオンラインバンキングの情報搾取を目的としたもの。これだけ啓発活動を続けているにもかかわらず、マクロを実行してしまう事例は後を絶たないのが実態。業務上どうしてもマクロを有効にしておかなくてはならない企業もある。利用者に対する継続的な教育は必要だが、サンドボックスなどを活用して、あらかじめ不正な添付ファイルを開かせないといった対策も必要」

 さらに、「脆弱性が公開されるとほぼ同時に攻撃コードが入手可能になっており、修正と回避策適用までのスピードが重要になっている。侵入されることを前提として情報ソースとなる分析システムが有効に機能としているのか、情報を迅速に分析できる運用体制が構築されているのかどうかといったことが重要になる」と指摘した。

鳥谷部彰則氏
日本IBM グローバル・テクノロジー・サービス事業本部Tokyo SOCセンター長 鳥谷部彰則氏

 IBMは、東京をはじめとする世界10カ所にIBMセキュリティー・オペレーション・センター(SOC)を設置して、133カ国約4000社のユーザーで稼働している約2万台のシステム機器を分析し、脅威動向を観測。10年以上蓄積したセキュリティインテリジェンスを相関解析エンジン「X-Force Protection System」に実装し、1日あたり200億件、毎秒23万件というデータをリアルタイムで分析しているという。

 「Tokyo SOCは、世界で3番目に設置され、今年で14年目になる。X-Force Protection Systemは、IBMのシステムだけでなく、マルチベンダーのシステムに対応できるものになっている」(日本IBM グローバル・テクノロジー・サービス事業本部Tokyo SOCセンター長 鳥谷部彰則氏)としている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン購読のお申し込み

関連記事

関連キーワード
日本アイ・ビー・エム
脆弱性(ぜいじゃくせい)
bash脆弱性問題
POODLE脆弱性問題
サイバー攻撃

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル
  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは
  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策
  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性
  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

注目している大規模言語モデル(LLM)を教えてください

投票する

カテゴリランキング

  1. パロアルトネットワークス製品に脆弱性、4月14日に緊急パッチ公開を予告

  2. 「XZ Utils」のバックドア問題--オープンソースのセキュリティを考える

  3. ランサムウェアの侵入方法はメールやウェブからファイルに移行--2023年の分析から

  4. 「Google Chrome」、新セキュリティー機能「V8 Sandbox」を間もなく実装

  5. OTのセキュリティでこれから必須になるインシデントへの対応

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]