SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine Day 2022

2022年6月28日(火)13:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine Press

Heartbleed攻撃は脆弱性公開から1週間で100万件超--日本IBM「2014年上半期 Tokyo SOC情報分析レポート」


 日本IBMは8月27日、「2014年上半期Tokyo SOC情報分析レポート」を公表した。世界10箇所に設置したIBMのSOC(セキュリティオペレーションセンター)で1月から6月に観測した脅威動向をまとめた。今年4月に大きな騒動になったOpenSSLやApache Strutsの脆弱性の影響について報告している。

Heartbleed攻撃は脆弱性公開から1週間で100万件超

 IBMのSOCでは、130カ国以上4000社の顧客システムのセキュリティイベントを監視し、そこから得られる1日200億件に上るデータをリアルタイムに相関分析している。その解析結果を国内の動向にフォーカスして分析し、半年ごとに公表しているレポートが「Tokyo SOC情報分析レポート」だ。今回のレポートでは、4月に相次いで発生し、多くの担当者が対応に追われることになったOpenSSLの脆弱性(CVE-2014-0160と、Apache Strutsの脆弱性(CVE-2014-0094など)を中心に扱っている。

日本IBM チーフ・セキュリティ・アナリスト 井上 博文氏
日本IBM チーフ・セキュリティ・アナリスト 井上 博文氏

 OpenSSLの脆弱性は、いわゆるHeartbleed攻撃として騒動になったもの。この脆弱性を悪用するとSSL通信を行っているプロセスの一定サイズのメモリの内容を読み取ることができる。このため、認証済ユーザーのログインセッション情報から、ユーザーがサーバーに送信したIDやパスワード、秘密鍵の情報まで漏れる可能性があった。

 調査にあたったチーフ・セキュリティ・アナリストの井上博文氏によると「脆弱性公開直後の4月11日から大量の検知が確認され、検知数は減少しているものの、いまも攻撃が継続している状況」だという。4月11日から16日までの間は、検知数が1日あたり20万件以上に達する日があり、送信元IPアドレス数は11日から21日までの間に1日あたり1000アドレス前後確認された。7月末までのTokyo SOCでの検知件数の総数は130万件で、世界全体に占める日本国内の割合は19.1%だった。

▲OpenSSLの脆弱性(CVE-2014-0160)を悪用する攻撃の検知数および送信元IPアドレス数の推移(日本国内) (Tokyo SOC調べ:2014年4月11日~2014年7月31日)出所:Tokyo SOC Report
▲OpenSSLの脆弱性(CVE-2014-0160)を悪用する攻撃の検知数および
送信元IPアドレス数の推移(日本国内) (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
出所:Tokyo SOC Report

 送信IPアドレスは、多い順に、アメリカが47.4%、イギリスが31.9%、中国が10%。アメリカのIPアドレスは半数近くがLinode、Amazonといったクラウドサービス事業者のホストを使用していた。イギリスに関しては、特定のプロバイダのADSL利用者用のアドレスからの件数が多く、このアドレスでは、特定の海外企業のIPアドレスのみに攻撃を行っていたという。中国の場合は、特定のアドレスから大量に攻撃を行っているケースがある一方、特定のアドレスレンジからの分散型の攻撃の傾向が見られた。

 攻撃先の業種は、金融が80.4%と最も多く、攻撃者が主に金融機関をターゲットにしている状況が明らかになった。次いで、IT・通信が10.1%と多く、なかでも、ホスティングやWebサービスといった一般顧客向けサービスを提供している事業者がターゲットになっていた。また、件数は少ないものの、ほとんどの企業が攻撃を受けていた。

 対策としては、OpenSSLを使用しているサーバーや組み込みハードウェアの調査、OpenSSLのバージョンアップと証明書の再発行、ユーザーに対するパスワードの変更依頼などが求められた。ただ、多くの領域で使われているライブラリということもあり、調査や証明書再発行をスムーズに進めることができなかった企業もあった。井上氏は「バージョンアップやIPSでの防御設定など、組織内で迅速に対応が可能な体制が整っているかが問われた事例になった」と指摘した。

次のページ
インシデント・ハンドリングを適切に回せる体制の構築を

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
EnterpriseZine Press連載記事一覧

もっと読む

この記事の著者

齋藤公二(サイトウコウジ)

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6110 2015/04/27 11:20

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年6月28日(火)13:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング