日本IBMがこのほど発表した「2016年下半期Tokyo SOC情報分析レポート」によると、2016年7月~12月にIBMのセキュリティ監視センター「Tokyo SOC」で観測された不正な添付ファイルを使用する攻撃は、前期比で約2.5倍増加した。
メールによる攻撃は、2016年3月より増加傾向にあった。不正な添付ファイルの94.9%は、ランサムウェア「Locky」への感染を狙うものだった。件名や添付ファイル名で日本語を使用するなど、添付ファイルの97.8%が「Ursnif」などのバンキングサービスを悪用することを狙うマルウェアだった。
また、IoTデバイスのデフォルトアカウントを使用して、不正なログインの継続的に試みることが確認された。マルウェア「Mirai」に乗っ取られたと考えられる機器からのものが継続して検知された。ログインに成功した場合、さらに別のIoT機器に対して不正なログインを試みて感染を広げ、攻撃者からの指令によってDDoS(分散型サービス妨害)攻撃が行われる懸念がある。
サーバ攻撃者の指令サーバ(C2サーバ)の多くは、長期間放置されているサーバだということも判明した。2016年を通じて確認されたC2サーバとの通信に関して、ドメイン名を調査したところ、通信が確認された日より1年以上前にそのドメイン名が取得されているケースが全体の約80.1%を占めた。
