EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

Heartbleed攻撃は脆弱性公開から1週間で100万件超--日本IBM「2014年上半期 Tokyo SOC情報分析レポート」

  2014/08/28 22:10

 日本IBMは8月27日、「2014年上半期Tokyo SOC情報分析レポート」を公表した。世界10箇所に設置したIBMのSOC(セキュリティオペレーションセンター)で1月から6月に観測した脅威動向をまとめた。今年4月に大きな騒動になったOpenSSLやApache Strutsの脆弱性の影響について報告している。

Heartbleed攻撃は脆弱性公開から1週間で100万件超

 IBMのSOCでは、130カ国以上4000社の顧客システムのセキュリティイベントを監視し、そこから得られる1日200億件に上るデータをリアルタイムに相関分析している。その解析結果を国内の動向にフォーカスして分析し、半年ごとに公表しているレポートが「Tokyo SOC情報分析レポート」だ。今回のレポートでは、4月に相次いで発生し、多くの担当者が対応に追われることになったOpenSSLの脆弱性(CVE-2014-0160と、Apache Strutsの脆弱性(CVE-2014-0094など)を中心に扱っている。

日本IBM チーフ・セキュリティ・アナリスト 井上 博文氏
日本IBM チーフ・セキュリティ・アナリスト 井上 博文氏

 OpenSSLの脆弱性は、いわゆるHeartbleed攻撃として騒動になったもの。この脆弱性を悪用するとSSL通信を行っているプロセスの一定サイズのメモリの内容を読み取ることができる。このため、認証済ユーザーのログインセッション情報から、ユーザーがサーバーに送信したIDやパスワード、秘密鍵の情報まで漏れる可能性があった。

 調査にあたったチーフ・セキュリティ・アナリストの井上博文氏によると「脆弱性公開直後の4月11日から大量の検知が確認され、検知数は減少しているものの、いまも攻撃が継続している状況」だという。4月11日から16日までの間は、検知数が1日あたり20万件以上に達する日があり、送信元IPアドレス数は11日から21日までの間に1日あたり1000アドレス前後確認された。7月末までのTokyo SOCでの検知件数の総数は130万件で、世界全体に占める日本国内の割合は19.1%だった。

▲OpenSSLの脆弱性(CVE-2014-0160)を悪用する攻撃の検知数および送信元IPアドレス数の推移(日本国内) (Tokyo SOC調べ:2014年4月11日~2014年7月31日)出所:Tokyo SOC Report
▲OpenSSLの脆弱性(CVE-2014-0160)を悪用する攻撃の検知数および
送信元IPアドレス数の推移(日本国内) (Tokyo SOC調べ:2014年4月11日~2014年7月31日)
出所:Tokyo SOC Report

 送信IPアドレスは、多い順に、アメリカが47.4%、イギリスが31.9%、中国が10%。アメリカのIPアドレスは半数近くがLinode、Amazonといったクラウドサービス事業者のホストを使用していた。イギリスに関しては、特定のプロバイダのADSL利用者用のアドレスからの件数が多く、このアドレスでは、特定の海外企業のIPアドレスのみに攻撃を行っていたという。中国の場合は、特定のアドレスから大量に攻撃を行っているケースがある一方、特定のアドレスレンジからの分散型の攻撃の傾向が見られた。

 攻撃先の業種は、金融が80.4%と最も多く、攻撃者が主に金融機関をターゲットにしている状況が明らかになった。次いで、IT・通信が10.1%と多く、なかでも、ホスティングやWebサービスといった一般顧客向けサービスを提供している事業者がターゲットになっていた。また、件数は少ないものの、ほとんどの企業が攻撃を受けていた。

 対策としては、OpenSSLを使用しているサーバーや組み込みハードウェアの調査、OpenSSLのバージョンアップと証明書の再発行、ユーザーに対するパスワードの変更依頼などが求められた。ただ、多くの領域で使われているライブラリということもあり、調査や証明書再発行をスムーズに進めることができなかった企業もあった。井上氏は「バージョンアップやIPSでの防御設定など、組織内で迅速に対応が可能な体制が整っているかが問われた事例になった」と指摘した。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 齋藤公二(サイトウコウジ)

    インサイト合同会社 「月刊Computerwold」「CIO Magazine」(IDGジャパン)の記者、編集者などを経て、2011年11月インサイト合同会社設立。エンタープライズITを中心とした記事の執筆、編集のほか、OSSを利用した企業Webサイト、サービスサイトの制作を担当する。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。デジタル時代を支える企業の情報セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております。

バックナンバー

連載:EZ Press

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5