SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

EnterpriseZine Press

日本IBM、2013年上半期の国内セキュリティ脅威を分析した「Tokyo SOCレポート」発表


中国のIPアドレスからの攻撃が65%以上――辞書/総当り攻撃

 2つ目の辞書/総当り攻撃は、Webサイト改竄の原因の1つに挙げられる攻撃になっている。ログインIDとパスワードの組み合わせでログインの試行を繰り返し、組み合わせを推測して攻撃するという単純なものだが、依然として多く観測しており、特にSSHとFTPサービスを対象にした攻撃では、中国のIPアドレスからの攻撃が65%以上と最も高く、続いて米国の5.8%、韓国の5.0%という結果になったという。

出所:Tokyo SOCレポート

 「あくまで送信元IPが中国であり、攻撃者が中国にいるかどうかまでは把握できない。しかし、ユーザーは、不必要な中国からのアクセスを制限するだけで、多くの辞書/総当り攻撃を防ぐことができることを示している」(同氏)

 試行攻撃の継続時間については、5時間以内の攻撃の送信元IPの割合がSSHサービスで41.0%、FTPサービスで22.0%となるなど「短時間でログインを試行して止める」傾向が確認できた。その一方で、5日以上の長期にわたって攻撃を継続する送信元IPの割合はSSHサービスで22.0%、FTPサービスで36.0%であり、15日以上の長期にわたって攻撃が行われた場合は、1IPアドレスあたりの平均検知数が少なくなることが確認できた。これは「長期にわたって少しずつログインを試行し、セキュリティ機器や監視の目を逃れる」ことを示したものだという。

 ログイン試行が行われたアカウントについては、「admin」(全体の14.2%)、「administrator」(同7.3%)、「test」(同4.9%)といったよく使われるID名や、「mysql」「webmaster」「ftp」などサービスのデフォルト名が利用されていることから、デフォルトIDをそのまま利用することにあらためて注意を促した。

 「特に、ハードウェア機器にデフォルトで設定されているアカウントIDをそのまま利用し、外部からアクセスを許してしまったといったケースもある。ミドルウェアの対策だけでなく、ハードウェア機器などの管理IDやパスワードをそのまま利用していないかもチェックする必要がある」(同氏)

前期の149件から61件に減少したが……――標的型メール攻撃の「見えない化」

 3つ目の標的型メール攻撃の「見えない化」については、暗号化や難読化などのセキュリティ機器の検知を回避する技術が一般的になったことを指している。標的型メール攻撃の数は前期の149件から61件に減少したが、これは攻撃そのものの減少というより「見えない化」が進んだ結果を示したものだという。

 たとえば、添付ファイルをパスワード付きZIPで送信すると、内容が暗号化されるため、ゲートウェイ型のアンチウイルスソフトやサンドボックス、ネットワークIPSなどでの検知ができなくなる。また、添付するファイルも、マルウェアを含むExcelファイルを使い、さらに攻撃コードやマルウェア本体を難読化するといった手法が使われるという。

                         * * * * *

  レポートでは、このほか、DDoSの大規模化やCitadelボットネットに関するコラム、ログ分析を一元的に管理し、インシデント対応を行うSIEM(Security Information and Event Management)も紹介している。

■プレスリリース
http://www-06.ibm.com/jp/press/2013/08/2601.html

■2013年上半期Tokyo SOC情報分析レポート
http://www-935.ibm.com/services/jp/ja/it-services/soc-report-2013-h1.html

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)

「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/5086 2013/08/26 19:54

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング