2016年下半期Tokyo SOCレポート

2016年下半期にTokyo SOCで観測された攻撃を分析した結果、以下の実態が浮かび上がりました。

不正な添付ファイルを使用した攻撃がさらに増加し前期比約2.5倍に
2016年3月より増加したメールによる攻撃は2016年下半期も頻繁に行われ、Tokyo SOCで検知した不正メールの件数は2016年上半期と比較して約2.5倍に増加しました。また、不正な添付ファイルの94.9%はランサムウェア「Locky」への感染を狙ったものでした。件名や添付ファイル名に日本語を使用した不正なメールに限定すると、添付ファイルの97.8%は「Ursnif」などの金融マルウェアであることも判明しました。

IoTデバイスのデフォルトアカウントを使用した不正なログインの試みを継続して確認
2016年下半期はマルウェア「Mirai」に乗っ取られたと考えられる機器からの不正なログインの試みを継続して検知しています。ログインに成功した場合、さらに別のIoT機器に対して不正なログインを試みて感染を広げるとともに、攻撃者からの指令によってDDoS攻撃が行われるものと考えられます。このようなマルウェア「Mirai」に代表される、インターネットに接続されたIoTデバイス乗っ取りによるDDoS攻撃が脅威となっており、IoTデバイスに対するメーカー、ユーザー双方のセキュリティー対策が急務となっています。

攻撃指令サーバーの多くは長期間放置されているサーバー
2016年上半期、下半期を通して確認された攻撃指令サーバー(C&Cサーバー)との通信についてC&Cサーバーで使用されたドメイン名を調査したところ、通信が確認された日より1年以上前にそのドメイン名が取得されているケースが全体の約80.1%を占めました。このことから、立ち上げたまま長らく放置されているようなサーバーが攻撃者に悪用されていると推測されます。

また、本レポートでは、マルウェア・ダウンロードの傾向やインシデント発生時のメモリイメージの確保の方法などをご紹介いたします。
日々セキュリティー対策を行っているITエンジニアの方々には、情報セキュリティーに関する知識向上の一助として、また、経営上の課題解決のためにポリシー策定や情報セキュリティー対策に携わっている方々には、その活動の一助として、本レポートをご活用いただければ幸いです。


「Tokyo SOC 情報分析レポート」とは?

本レポートは、IBMが全世界10拠点のセキュリティー・オペレーション・センター(SOC)にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向を、Tokyo SOCが独自の視点で分析・解説したものです。
IBMでは、全世界10拠点のSOCで15年以上蓄積されてきたセキュリティー・インテリジェンスを相関分析エンジン(X-Force Protection System)へ実装し、1日あたり200億件以上の膨大なデータをリアルタイムで相関分析しています。

お問い合わせはこちら

IBM セキュリティー


過去のレポートはこちら

2016年上半期レポート

2016年上半期にTokyo SOCで観測された攻撃を分析した結果、以下の実態が浮かび上がりました。

メールを利用した不正な添付ファイルによる攻撃が前期比16.4倍に増加
今期はメールによる攻撃が活発に行われ、Tokyo SOCで検知した不正メールの件数は2015年下半期と比較し16.4倍に急増しました。また、不正な添付ファイルの形式はZIPで圧縮されたJavaScript形式のファイルが大半を占め、感染するマルウェアも多くはランサムウェアまたは金融マルウェアとなっていました。 一方で、ドライブ・バイ・ダウンロード攻撃の検知件数は前期の6分の1以下と大幅に減少しています。企業側の脆弱性対策が進んだことなど複数の要因が影響し、攻撃者側が脆弱性を悪用しないメールによる攻撃手法へ移行していると考えられます。

日本語を利用したメールによる攻撃では正規のメールや公開情報を流用
メールを利用した攻撃において日本語を利用しているケースでは、以前のような不自然な日本語で記載された文面だけではなく、正規のメールや公開情報を流用したと考えられる自然な日本語の文面が利用されており、文面のみでは不正なメールかどうかの判断をすることが困難な状況が浮かび上がりました。また、日本語の文面を利用した不正なメールによって感染するマルウェアのほとんどは金融マルウェアであることも判明しました。

公開サーバーに対する攻撃の送信元IPアドレスの18.4%が30日以上継続的に活動
今期Tokyo SOCで検知した公開サーバーに対する攻撃の送信元IPアドレスの活動期間を分析したところ、1日未満の活動期間のものが66.8%と多くを占めるものの、30日以上継続的に活動しているものも18.4%確認されました。攻撃者は攻撃の検知を逃れるために送信元IPアドレスを頻繁に変更していると一般的には考えられていますが、分析の結果より、攻撃者の多くは利用できる攻撃ホストが使える限り使い続けるという戦略をとっていると推測されます。そのため、IPアドレスのブラックリスト方式による検知・防御は一定の効果があると考えられます。

また、本レポートでは、実際に発生したWebサイト改ざんの事例や、不正なメールに添付されるファイルを開いてしまった際の接続先ドメインに関する調査結果をご紹介いたします。
日々セキュリティー対策を行っているITエンジニアの方々には、情報セキュリティーに関する知識向上の一助として、 また、経営上の課題解決のためにポリシー策定や情報セキュリティー対策に携わっている方々には、その活動の一助として、 本レポートをご活用いただければ幸いです。

2015年下半期レポート

1. 約74%の組織でドライブ・バイ・ダウンロード攻撃を確認

2015年上半期に増加したドライブ・バイ・ダウンロード攻撃(「見ただけ感染」)はさらに増加傾向を示し、攻撃の検知数は約1.4倍となりました。
攻撃の発生が確認された組織は前期の40.5%から74.3%に増加しました。 引き続き、攻撃の90%以上がAdobe Flash Player の脆弱性を悪用するものでした。

2. 不特定多数を狙ったメール攻撃は「短期」「集中」「使い捨て」

不特定多数を狙ったメール攻撃は、2015年10月以降、特に猛威を振るっています。
自然な日本語で記述し実在の組織を騙るメールも発生していますが、Tokyo SOC で観測された不特定多数を狙ったメール攻撃は最初のメールから2時間以内にほとんどのメールが 送られていることがわかりました。
攻撃活動のスピードが速くなっていることは以前にもお伝えしてきましたが、 使い捨てのメールを使用することで、不正メールの警戒度が上がることを避けたものと考えられます。

3. ランサムウェアを用いた攻撃活動の増加

国内でも感染したコンピュータ内のファイルを暗号化し復号のための金銭を要求するランサムウェアによる被害が話題となりましたが、Tokyo SOCでも多数の検知が確認されています。特に2015年11月以降から攻撃活動を継続的に観測していますが、これは感染に利用されるドライブ・バイ・ダ ウンロード攻撃や不正メールの増加と関連しているものと考えられます。
ランサムウェアは感染後すぐに深刻な被害が発生するため、感染を前提とした対策がより一層求められる結果となりました。

2015年上半期レポート

2015年上半期にTokyo SOCで観測された攻撃を分析した結果、以下の実態が浮かび上がりました。

1. メール添付型のマルウェアの通信を多数検知

日本年金機構の報道でもメール経由でのマルウェア感染が大きく取り上げられましたが、Tokyo SOC でもメール添付型のマルウェアに感染した端末が外部サーバーと通信するケースを検知しています。いわゆる標的型攻撃に対して防御だけを目的とした既存の対策に限界があり、一方、ばらまき型のメールウィルスに関しても不審なメールを開封しないようにコントロールすることが難しいことがわかります。まさに感染を想定した運用管理体制の構築が急務となっています。

2. 約40%の組織でドライブ・バイ・ダウンロードの攻撃を確認

2014年下半期に減少していたドライブ・バイ・ダウンロード攻撃は増加傾向を示し、攻撃が確認された組織は前期の16.9%から40.5%に増加しました。また、誘導元として改ざんされたWebページ以外に、広告配信ネットワークを悪用してマルウェア感染サイトにリダイレクトするケースも見られました。また、観測されたドライブ・バイ・ダウンロード攻撃の90%以上がAdobe Flash Player の脆弱性を悪用するものでした。

3. 相次ぐ脆弱性と継続する過去の脆弱性への攻撃

GHOST、FREAK、Logjam、VENOMといった新たな脆弱性が発見されるとともに、2014年のShellShockやHeartbleedも継続して攻撃を検知しています。脆弱性の公開直後から攻撃が発生する傾向にも変わりはないため、平時の情報収集やアセット管理の重要性が再認識されました。

また、本レポートでは日本以外での脅威動向やこれまで蓄積した検知データをもとに攻撃元、攻撃先のIPアドレスの相関についての分析結果をご紹介いたします。

2014年下半期レポート

2014年下半期のレポートでは、Tokyo SOCで観測された以下の攻撃について解説しています。

ShellShock攻撃はDDoSやスパムを行うボットプログラムを埋め込むことが主な目的

2014年上半期のHeartbleedに続き、広く利用されているオープンソースであるGNU Bashの脆弱性を狙う攻撃が発生しました。当初Heartbleedと同様に大量の調査行為が行われていましたが、その後の攻撃動向の調査により、サー バーに対してDDoSやスパムを行うボットプログラムを埋め込もうとする試みが確認されました。Tokyo SOCの観測では、ボットプログラムを埋め込もうとする攻撃が全体の98.6%を占めていました。

「ドライブ・バイ・ダウンロード攻撃」の影響を受けている組織は減少し、11.3%で確認

2014年上半期には21.9%の組織でドライブ・バイ・ダウンロード攻撃の影響を確認していましたが、今期は11.3%に減少していました。現 時点で減少の理由は明確になっていませんが、脆弱性を悪用しない攻撃手法への移行、改ざんされたWebサイトの減少、企業側の対策が進んだことなど複数の 要因が影響していると考えられます。一方で、メール経由では脆弱性を悪用しない攻撃を多く確認しています。それらには、Microsoft Officeのマクロを悪用したマルウェアや実行形式のファイルをそのまま送付する手法が使われています。

2014年上半期レポート

2014年上半期のレポートでは、Tokyo SOCで観測された以下の攻撃について解説しています。

「ドライブ・バイ・ダウンロード攻撃」の影響を21.9%の組織で確認

改ざんされたWebサイトの閲覧によりマルウェアに感染させられるドライブ・バイ・ダウンロード攻撃(見ただけ感染)は今期も引き続き検知してお り、Tokyo SOCで監視している対象のうち全体の21.9%の組織でマルウェアのダウンロードのステップまで至っていました。このことから、一部の組織ではドライ ブ・バイ・ダウンロードによって悪用される脆弱性に対して適切な修正(パッチ)や回避策を講じることが難しい状況であることが分かります。

OpenSSLの脆弱性をつくHeartbleed攻撃を脆弱性公開から約1週間で100万件以上検知

大規模な攻撃が発生したHeartbleedでは、脆弱性公開から最初の約1週間に100万件以上の攻撃が集中しました。特定の組織をターゲットに した執拗な攻撃も確認されています。本件は、バージョンアップやIPSでの防御設定など、組織内で迅速に対応が可能な体制が整っているかが問われる事例と なりました。

2013年下半期レポート

2013年下半期のレポートでは、Tokyo SOCで観測された以下の攻撃について解説しています。

「ドライブ・バイ・ダウンロード攻撃」は2012年下半期比2倍

改ざんされたWebサイトの閲覧によりマルウェアに感染させられるドライブ・バイ・ダウンロード攻撃(サイトを一度見ただけで感染してしまう攻撃) は2012年下半期と比較して2倍の件数でした。また、この攻撃の成功率は2013年上半期とほぼ変わらず、12.2%と引き続き高い成功率でした。さら に、マルウェアの配布が海外のWebサイトからだけでなく、日本のWebサイトからも行われるようになりました。

Webを侵入経路とした「日本の特定組織向け標的型攻撃」を確認

特定組織を標的とする攻撃の侵入経路としてメールだけでなく、Webを利用する攻撃が確認されました。2014年1月上旬にGRETECH社GOM Playerのアップデート通信でマルウェアに感染させられる事例が話題となりましたが、Tokyo SOCではGOM Playerのアップデート通信が確認された23組織のうち1組織のみでマルウェアのダウンロードを確認しており、特定の組織が標的とされている実態が浮 かび上がりました。

Apache Struts2の脆弱性を狙った攻撃が2.3倍に増加

2013年下半期では、Webアプリケーション・フレームワークやコンテンツ・マネジメント・システム(CMS)の脆弱性を狙ったWebサイトの改 ざんが増加しました。特にApache Struts2の脆弱性を狙った攻撃は、2013年上半期と比較して2.3倍に増加していました。
本レポートでは上記の分析に加えて、「中国を送信元とする攻撃の増加」と「Torを悪用するマルウェア」に関するコラムを紹介しています。

2013年上半期レポート

2013年上半期のレポートでは、Tokyo SOCで観測された以下の攻撃について解説しています。

「ドライブ・バイ・ダウンロード攻撃」は前期比約4倍に増加

今期、日本国内の多数のWebサイトがマルウェアの拡散を目的とした改ざん被害を受けています。この結果、改ざんされたWebサイトの閲覧によりマ ルウェアに感染させられるドライブ・バイ・ダウンロード攻撃が2012年下半期と比較して約4倍に増加しました。特にJREの脆弱性を悪用した攻撃が増え ています。

「SSH・FTPサーバーへの辞書/総当たり攻撃」の送信元は中国が65%以上を占める

SSHやFTPサーバーを対象としたアカウント奪取のための辞書/総当たり攻撃の送信元は、中国のIPアドレスからの攻撃が65%以上を占めていました。

「標的型メール攻撃」は見えない化が進む

Tokyo SOCで標的型メール攻撃を解析した事例のほとんどで暗号化された添付ファイルが使われていました。標的型メール攻撃は2012年下半期と比較して約4割 に減少していますが、これは攻撃そのものが減少したわけではなく、検知を回避する手法による見えない化が進んだためと考えられます。
本レポートでは上記の分析に加えて、“DDoS 攻撃の大規模化”や“Citadel ボットネット大規模撲滅作戦による効果”に関するコラム、ログ管理の重要性と積極的活用に関して紹介しています。

2012年下半期レポート

2012年下半期レポートの要約

巧妙化する攻撃への対応は、セキュリティー・ビッグデータの分析が必要

標的型メール攻撃やドライブ・バイ・ダウンロード攻撃に代表されるように、攻撃の複雑化が進む中で、従来から行われていた、明らかな攻撃だけを検知・防御するといったアプローチでは高度な攻撃には対応ができなくなっています。
高度な攻撃に対処するためには、今まで「ノイズ」として扱っていた膨大な情報(セキュリティー・ビッグデータ)を取得して、セキュリティー・イベントと相関分析を行う必要があります。
IBMは世界10拠点のSOCで10年以上蓄積されてきたセキュリティー・インテリジェンスを相関分析エンジン(X-Force Protection System)として実装し、1日あたり約200億件(毎秒約23万件)のログをリアルタイムで相関分析することで、高いレベルのサービスを提供していま す。

「標的型メール攻撃」は前年度比約2.5倍に増加

2012年下半期は前期比約1.4倍、2011年下半期との比較では約2.5倍強の攻撃が観測され、引き続き増加傾向にあります。
従来のAdobe ReaderやMicrosoft Officeの脆弱性を悪用するものに加えて、2012年8月14日に公表されたAdobe Flash Playerの脆弱性を悪用するものが確認されました。

「ドライブ・バイ・ダウンロード攻撃」の成功率はJREで50%超

ドライブ・バイ・ダウンロード攻撃は、クライアントPCへ自動的にマルウェアをインストールする攻撃手法です。この攻撃によってマルウェアがダウン ロードされる成功率が26%あることが判明しました。特にOracle Java Runtime Environment(JRE)の脆弱性を悪用した攻撃の成功率は50%超と非常に高く、パッチ適用が困難な企業環境におけるクライアントPCの現実が 浮かび上がりました。

「Webアプリケーションへの攻撃」は成功率が高いサイトを狙うように

従来のように調査活動無しに侵入を試みる稚拙な攻撃行為は継続して減少傾向にあり、多くの攻撃が攻撃対象の事前調査を行った上で、侵入が成功する確 率の高いサイトを狙って行われるようになっています。また、Webページに記述されたスクリプト言語を実行する環境であるPHPの脆弱性を狙った攻撃も多 く観測されています。
上記の分析に加えて、オンライン・バンキングの利用者を狙った攻撃、昨年9月に発生した中国からの攻撃に関して過去の攻撃傾向との比較や海外の類似事例をご紹介しています。

2012年上半期レポート

2012年上半期レポートの要約

「標的型メール攻撃」増加 前期比約2倍を検知

2012年上半期、東京SOCが最も注視していたのは、「標的型メール攻撃」です。
2011年下半期は若干の減少傾向にあったものが、今期は大きく検知数を増加させて前期比約2倍となっています。
従来のAdobe Reader/Acrobatの脆弱性を悪用するものに加えて、今期はMicrosoft Officeの脆弱性を悪用するものが多く確認されました。
また、ゼロデイ脆弱性が悪用されたケースは0.2パーセントでした。
これは、この種の攻撃の本質が送信元や添付ファイルを偽装して受信者を欺くソーシャル・ハッキングの手口にあることを示しています。

ドライブ・バイ・ダウンロード攻撃が増加するのは何曜日か?!

「ドライブ・バイ・ダウンロード攻撃」にもWindowsのゼロデイ脆弱性を悪用する攻撃が確認されました。
標的型攻撃でよく用いられる、RATという種類のマルウェアの感染を試みるケースも観測されています。
さらに、攻撃管理ツールであるExploit Packにも新しいプラットフォームが複数種類確認されるなど、攻撃者側のアンダーグラウンド・マーケットが活況にあることが推測されます。

「Webアプリケーションへの攻撃」イベントの約8割はSQLインジェクション攻撃

大部分は情報窃取を目的とした内容ですが、一部のWebサイトを対象としたWebサイト攻撃改ざん攻撃も継続しています。
また、リモート・ファイル・インクルージョンやOSコマンド・インジェクションなどの攻撃も観測されています。
これらの多くはコンテンツ管理システム(CMS)やフレームワークの既知の脆弱性の悪用を試みるものでした。
公開サービスを運用している環境では、CMSの追加プラグインやフレームワークの外部ライブラリーなど、利用しているコンポーネントを把握し、脆弱性情報を追跡することが求められます。

標的型メール攻撃の検知件数比較グラフ

図1 標的型メール攻撃の検知件数比較
(東京SOC調べ:2011年7月~2012年6月)

2012年上半期 Tokyo SOC 情報分析レポートの表紙

2011年下半期レポート

2011年下半期レポートの要約

2011年下半期、最も注目を集めた脅威は「標的型メール攻撃」でした。この種の攻撃はITの歴史と同じくらい古くから存在するものですが、9月以降、立 て続けに報道された日本国内の企業・政府関係機関を対象にしたサイバー攻撃の多くが、最初の侵入経路としてこの手法を用いていたため、一般にも大きな注目 を集めるようになりました。今期東京SOCでは60件の標的型メール攻撃を観測しており、その多くは政府関係機関やマスコミ、重要インフラ企業を対象とし たものでした。2011年上半期に猛威を振るった東日本大震災に便乗したタイプの攻撃メールは検知されなくなりましたが、それ以外の話題を用いた攻撃メー ルは前期比約1.2倍に増加しています。

さらに、メールなどにより組織内部への侵入に成功した攻撃者はマルウェアを用いて内部ネットワークに攻撃基盤を確立し、「Advanced Persistent Threat(APT)」や「新しいタイプの攻撃」と呼ばれる持続的な攻撃を行います。被害報道が続くなか、これらの高度な攻撃への対策が急務であること が浮き彫りになりました。
その一方で、不特定多数から金銭を搾取することを目的とした組織的な攻撃も継続しています。
「SQLインジェクション攻撃」などの手法で改ざんしたWebサイトを用いて「ドライブ・バイ・ダウンロード攻撃」を行い、クライアントPCをマルウェアに感染させる攻撃サイクルは健在です。

今期は特に、SpyEyeなどのマルウェアによる被害が顕在化しました。同種のマルウェアは数年前から存在しますが、これまで主に国外で英文のスパムメールなどを介して感染を広げていたものが、日本国内を対象に大規模な感染行為を行うようになったのは新たな傾向です。

本レポートでは上記のトピックに関する解説に、「EMETを利用した標的型メール攻撃の防御」、「IPv6通信の攻撃」等の話題を取り上げた4つのコラムを交えて、2011年下半期の脅威動向を紹介いたします。 また、過去のTokyo SOC 情報分析レポートの内容を解りやすい読み物の形で解説した集中連載:情報セキュリティー最前線も合わせてお読みいただくことで、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。

2011年上半期下半期の標的型メール攻撃の検知件数 棒グラフ

図1 標的型メール攻撃の検知件数比較
(東京SOC調べ:2011年7月~2012年6月)

2011年下半期 Tokyo SOC 情報分析レポートの表紙


企業の情報資産を24時間365日、サイバー攻撃の脅威から守ります

IBM Managed Security Services


ご契約後のお問い合わせは、ご契約元または担当営業までご相談ください