2017年下半期 Tokyo SOC 情報分析レポート 公開

記事をシェアする:

「2017年下半期 Tokyo SOC 情報分析レポート」を公開しました。

本レポートは、IBMが全世界8拠点のセキュリティー・オペレーション・センター（SOC）にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向を、Tokyo SOCが独自の視点で分析・解説したものです。

2017年下半期にTokyo SOCで観測した攻撃を分析した結果、以下の実態が浮かび上がりました。

公開サーバーへの攻撃は仮想通貨の不正な採掘を目的とするものが増加

Oracle WebLogic Serverの脆弱性やApache Struts2の脆弱性等を悪用して、攻撃者が公開サーバーで仮想通貨を採掘する不正なプログラムの実行を試みていることが確認されています。タイムリーなセキュリティー情報収集と迅速なセキュリティーパッチの適用に加えて、公開サーバーでの異常を検知する対策が重要となっています。

Oracle WebLogic Server の脆弱性（CVE-2017-10271）を狙う攻撃の検知数推移
（Tokyo SOC調べ　2018年1月6日～2月5日）

Oracle WebLogic Server の脆弱性（CVE-2017-10271）を悪用する攻撃通信の例

不正メールは前期比約2倍となり、高危険度インシデントの7割以上は金融マルウェア

今期は期間を通じて不正メールが確認されており、前期と比較すると約2倍となりました。高危険度インシデントの7割以上は不正メールによる金融マルウェアUrsnifの感染となっています。金融マルウェアへの感染を狙う不正メールは、Microsoft Office数式エディタの脆弱性など新たな脆弱性を悪用するものや、これまで金融マルウェアへの感染目的では確認されていなかった不正なリンクによるものが確認されるなど攻撃手法は変化しています。引き続きメール経由でのマルウェア感染に対する警戒が必要な状況といえます。

マルウェア感染を狙う不正メールの検知数推移
（Tokyo SOC調べ　2016年1月1日～2017年12月31日）

金融マルウェアへの感染を狙うメールの日次検知数推移
（Tokyo SOC調べ　2017年7月1日～12月31日）

組織内における仮想通貨採掘ソフトウェアの扱いに関するルール作りが必要

今期はWebサイトに埋め込まれた仮想採掘ソフトウェアが複数公開され、Tokyo SOCでも多数のアクセスを確認しています。このような仮想通貨採掘ソフトウェアは、Webサイト運営者の金銭獲得手段として正規に利用される場合がある一方、Webサイト閲覧者のPCのCPUリソースを無断で使用する場合もあります。組織としてこのようなソフトウェアの扱いをセキュリティー・ポリシーで規定し、必要に応じてアクセス制御などを実施する必要があります。

Tokyo SOCが観測した仮想通貨採掘ソフトウェアの特徴

また、本レポートでは、IBM Security X-Forceチームが実際に対応した高度な攻撃の事例などをご紹介いたします。日々セキュリティー対策を行っているITエンジニアの方々には、情報セキュリティーに関する知識向上の一助として、また、経営上の課題解決のためにポリシー策定や情報セキュリティー対策に携わっている方々には、その活動の一助として、本レポートをご活用いただければ幸いです。

【著者情報】

窪田 豪史

2007年日本アイ・ビー・エム株式会社入社。Tokyo Security Operation Center(SOC)アナリストとして監視・分析業務や脅威情報発信を行う。2018年よりX-Force Incident Response and Intelligence Service 日本チームメンバーとしてセキュリティー・インシデント対応支援に従事。CISSP、GREM。