ドライブ・バイ・ダウンロード攻撃が急増
IBMは世界にセキュリティ・オペレーション・センター(SOC)を世界で10拠点運営しており、その1つにTokyo SOCがある。契約顧客数はグローバルで約4000社、監視機器は約2万台。同社は独自の分析エンジンを使い、リアルタイムでイベントデータの相関分析などを行っている。
2015年上半期レポートについて同社グローバル・テクノロジー・サービス事業本部 シニア・セキュリティー・アナリスト 猪股秀樹氏が解説した。
日本IBM グローバル・テクノロジー・サービス事業本部
シニア・セキュリティー・アナリスト 猪股 秀樹氏
まずメール添付型マルウェアの傾向。99%以上がexeやscrの実行形式で、多くがzipなどで圧縮されていた。またほとんどに脆弱性の悪用はなかった。添付ファイル型だとユーザーが添付ファイルを開くという行為がプログラム実行のトリガーとなるため、攻撃側は「脆弱性を使うまでもない」という考えのようだ。「不審なファイルは開かない」ようにと周知徹底しても一定数は開いてしまうため、そこをあてにしているようだ。ただし言い換えればユーザーが添付ファイルを開かなければ何も起きないため、「不審な添付ファイルは開かない」ことの周知徹底が予防として重要になる。
今期顕著に増加しているのが「ドライブ・バイ・ダウンロード攻撃」。Webサイトを閲覧するとマルウェアに感染してしまうもの。ここで感染するマルウェアは多くが広告の自動閲覧やランサムウェアとなる。ランサムウェアはユーザーのパソコンにあるファイルを暗号化し(アクセスできなくさせる)「復号したければ金銭を支払え」と要求する。
ドライブ・バイ・ダウンロード攻撃は2014年下半期と比べて約3倍増加。これは「Adobe Flash Playerの脆弱性が多数公開された影響」と猪股氏。脆弱性が公開されてからまだ間もないため、今後さらに増加する可能性がある。
また従来通りとなるが、脆弱性が公開されると攻撃が増えるという傾向は継続している。例えば2015年4月15日にはWindowsのHTTPプロトコルスタックに関する脆弱性が公開されると、翌日にはその脆弱性を狙った攻撃がグローバルで900件近く検知された。
ShellShock攻撃も継続している。特に4月には新たなワームとなる通信パターンの急増が確認できた。攻撃元のIPアドレスを見ると、全体の3.2%でわずかではあるものの日本国内のIPアドレスも含まれているという。
