2016年上半期 Tokyo SOC 情報分析レポート 公開

記事をシェアする:

「2016年上半期 Tokyo SOC 情報分析レポート」を公開しました。

本レポートは、IBMが全世界10拠点のセキュリティー・オペレーション・センター（SOC）にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向を、Tokyo SOCが独自の視点で分析・解説したものです。

2016年上半期にTokyo SOCで観測された攻撃を分析した結果、以下の実態が浮かび上がりました。

メールを利用した不正な添付ファイルによる攻撃が前期比16.4倍に増加

今期はメールによる攻撃が活発に行われ、Tokyo SOCで検知した不正メールの件数は2015年下半期と比較し16.4倍に急増しました。また、不正な添付ファイルはZIPで圧縮されたJavaScript形式のファイルが大半を占め、感染するマルウェアも多くはランサムウェアまたは金融マルウェアとなっていました。一方で、ドライブ・バイ・ダウンロード攻撃の検知件数は前期の6分の1以下と大幅に減少しています。企業側の脆弱性対策が進んだことなど複数の要因が影響し、攻撃者側が脆弱性を悪用しないメールによる攻撃手法へ移行していると考えられます。

悪意あるファイルが添付された不正メールの検知数推移
(Tokyo SOC調べ　2015年7月1日～2016年6月30日)

ドライブ・バイ・ダウンロード攻撃の月別検知数推移
(Tokyo SOC調べ　2012年7月1日～2016年6月30日)

日本語を利用したメールによる攻撃では正規のメールや公開情報を流用

メールを利用した攻撃において日本語を利用しているケースでは、以前のような不自然な日本語で記載された文面だけではなく、正規のメールや公開情報を流用したと考えられる自然な日本語の文面が利用されており、文面のみでは不正なメールかどうかの判断をすることが困難な状況が浮かび上がりました。また、日本語の文面を利用した不正なメールによって感染するマルウェアのほとんどは金融マルウェアであることも判明しました。

正規メールを流用した不正メールの例

件名または添付ファイル名に日本語を利用するメールで感染するマルウェアのタイプ別割合
(Tokyo SOC調べ　2015年7月1日～2016年6月30日)

公開サーバーに対する攻撃の送信元IPアドレスの18.4%が30日以上継続的に活動

今期Tokyo SOCで検知した公開サーバーに対する攻撃の送信元IPアドレスの活動期間を分析したところ、1日未満の活動期間のものが66.8%と多くを占めるものの、30日以上継続的に活動しているものも18.4%確認されました。攻撃者は攻撃の検知を逃れるために送信元IPアドレスを頻繁に変更していると一般的には考えられていますが、分析の結果より、攻撃者の多くは利用できる攻撃ホストが使える限り使い続けるという戦略をとっていると推測されます。そのため、一定期間以上観測される送信元IPアドレスのブラックリスト方式による検知・防御は一定の効果があると考えられます。

同じ送信元IPアドレスからイベントが観測された期間の内訳
(Tokyo SOC調べ　2016年1月1日～2016年6月30日)

活動期間別のIPアドレスから送信されたイベントの種類
(Tokyo SOC調べ　2016年1月1日～2016年6月30日)

また、本レポートでは、実際に発生したWebサイト改ざんの事例や、不正なメールに添付されるファイルを開いてしまった際の接続先ドメインに関する調査結果をご紹介いたします。
日々セキュリティー対策を行っているITエンジニアの方々には、情報セキュリティーに関する知識向上の一助として、また、経営上の課題解決のためにポリシー策定や情報セキュリティー対策に携わっている方々には、その活動の一助として、本レポートをご活用いただければ幸いです。

【著者情報】

猪股 秀樹

2000年インターネットセキュリティシステムズ株式会社入社。セキュリティー診断やIDS/IPSの導入プロジェクト、セキュリティー・コンサルティングなどさまざまなプロジェクトを手がける。2007年買収に伴い日本IBMに移籍。2012年よりセキュリティー・オペレーション・センターのチーフ・セキュリティー・アナリスト。