「Tokyo SOCレポート」に見る、国内のセキュリティ脅威動向
レポートの発表にあたり、GTS ITS セキュリティ・サービス セキュリティ・サービス担当部長の徳田敏文氏は、今回のレポートのポイントとして、ドライブ・バイ・ダウンロード攻撃が前期比約4倍に増加したこと、辞書/総当り攻撃が依然として多く観測されており送信元IPは中国が65%を占めていること、標的型メール攻撃の「見えない化」が進んでいることの3つを取り上げて、説明した。
2012年下半期から4.2倍と急増――ドライブ・バイ・ダウンロード攻撃
まず、ドライブ・バイ・ダウンロード攻撃については、攻撃の総数が2012年下半期の956件から4.2倍となる3972件に達するなど急増した。ドライブ・バイ・ダウンロード攻撃は、改竄されたWebサイトを閲覧させることでマルウェアに感染させる攻撃手法。ユーザーが改竄されたWebサイトを閲覧すると、自動的に攻撃用サーバに接続され、クライアントPCの脆弱性を悪用して、マルウェアに感染させられる。
悪用された脆弱性は、従来から、Java Runtime Environment(JRE)やAdobe Readerが数多く占めていたが、今回は、特にJREの占める割合が増えている。具体的には、JREの脆弱性を悪用した攻撃は2012年下半期は308件で全体の32.2%だったものが、今回は3192件と80.4%を占め、件数ベースでは10.4倍になった。徳田氏によると、JREの悪用が増えた理由の1つは、Exploit Packなどと呼ばれる攻撃ツールにJREの脆弱性が組み込まれているためだ。
「ベンダーが対策する前に、攻撃ツールに組み込まれて、実際に使われている。ベンダーが対策を施すと、攻撃の成功率は減るものの、新しい脆弱性が発見されて、それがまたツールに組み込まれる。JREの割合が大きいため、クライアントPCの多くでJREのパッチが適用されていないという実情があるとも考えられる」(同氏)
攻撃の成功率は、ドライブ・バイ・ダウンロード攻撃のうち、マルウェアのダウンロードが成功していた割合で、今回は523件中のうちの13.2%だった。また、実際に悪用された脆弱性としては、1月公開されたCVE-2013-0422や3月に公開されたCVE-2013-1493がある。それぞれ、CVE-2013-0422は、JRE(JDK) 7 update 10以前、CVE-2013-1493はJRE(JDK) 7 update 15以前のバージョンを対象に、任意のコード実行を許すという脆弱性だった。
