日本IBMは9月8日、東京を含む全世界10拠点のIBMセキュリティー・オペレーション・センター(SOC)で観測したセキュリティイベント情報に基づき、主として日本国内の企業環境で観測された脅威動向をTokyo SOCが独自の視点で分析・解説した「2016年上半期Tokyo SOC情報分析レポート」を発表した。
IBMは、全世界10拠点のSOCで15年以上蓄積されてきたセキュリティインテリジェンスを相関分析エンジン「X-Force Protection System」へ実装し、1日あたり200億件以上の膨大なデータをリアルタイムで相関分析している。IBM SOCではこれらを活用し、133カ国約4000社以上の顧客のシステムに対しセキュリティ対策を支援している。
今回のセキュリティレポートでは、Tokyo SOCにおいて2016年上半期(1~6月)に観測された攻撃を分析した結果が紹介されている。そこから浮かび上がってきた実態は以下の通り。
- メールを利用した不正な添付ファイルによる攻撃が前期比16.4倍に増加
- 日本語を利用したメールによる攻撃では正規のメールや公開情報を流用
- 公開サーバに対する攻撃の送信元IPアドレスの18.4%が30日以上継続的に活動
今期はメールによる攻撃が活発に行われ、Tokyo SOCで検知した不正メールの件数は2015年下半期と比較し16.4倍に急増した。また、不正な添付ファイルの形式はZIPで圧縮されたJavaScript形式のファイルが大半を占め、感染するマルウェアも多くはランサムウェアまたは金融マルウェアとなっていた。
その一方で、ドライブ・バイ・ダウンロード攻撃の検知件数は前期の6分の1以下と大幅に減少している。企業側の脆弱性対策が進んだことなど複数の要因が影響し、攻撃者側が脆弱性を悪用しないメールによる攻撃手法へ移行していると考えられるという。
メールを利用した攻撃において日本語を利用しているケースでは、以前のような不自然な日本語で記載された文面だけではなく、正規のメールや公開情報を流用したと考えられる自然な日本語の文面が利用されており、文面のみでは不正なメールかどうかの判断をすることが困難な状況が浮かび上がってきた。また、日本語の文面を利用した不正なメールによって感染するマルウェアのほとんどは金融マルウェアであることも判明した。
今期Tokyo SOCで検知した公開サーバに対する攻撃の送信元IPアドレスの活動期間を分析したところ、1日未満の活動期間のものが66.8%と多くを占めるものの、30日以上継続的に活動しているものも18.4%確認された。
なお、攻撃者は攻撃の検知を逃れるために送信元IPアドレスを頻繁に変更していると一般的には考えられているが、分析の結果からは、攻撃者の多くは利用できる攻撃ホストが使える限り使い続けるという戦略をとっていると推測されるという。そのため、IPアドレスのブラックリスト方式による検知・防御は一定の効果があると考えられる。