このレポートは、JSOCが監視しているIDS/IPS、サンドボックス、ファイアウォール機器において、2017年10月から12月までの間に検知したセキュリティ攻撃を、ラックのセキュリティアナリストが分析しインシデント傾向に加え、特に注目すべき脅威について、詳細に説明しているという。
・Oracle WebLogic Serverの任意コード実行の脆弱性
Oracle Fusion MiddlewareのOracle WebLogic Serverに、任意のコードを実行可能な脆弱性が公開された。この脆弱性の公開直後は攻撃の検知はなかったが、12月22日に攻撃コードが公開されたことで、仮想通貨を採掘(マイニング)させる攻撃やバックドアの設置を試みる攻撃を多数検知している。この脆弱性の影響を受けるバージョンを使用している場合には、早期のアップデートを推奨する。
・送信元を秘匿した攻撃通信の増加
Webサーバの設定不備やWordPressなどのCMSに関連する脆弱性を悪用する攻撃が一時的に急増した。これらの送信元は、Torやオープンプロキシなど、実際の攻撃者が秘匿された状態で大量に検知している。これらの攻撃に対して各種対策を実施するとともに、通信の踏み台にされ攻撃に加担しないように設定の確認を推奨する。
・マルウェア感染を誘導する不審メールの増加
顧客環境において、Ursnifなどのマルウェア感染へ誘導させる不審メールの検知が増加している。この不審メールは、実在する会社から送付される件名や本文を模しており、一見して不審であると断定できる要素が少なく、通常のメールと不審メールが送付される時期も同一である場合が多く、メール受信者を騙そうとする意図がこれまでより強くなっている点が特徴的。不審メールが配信された直後に、Ursnifなどのマルウェア感染によるものと考える通信の検知が多いことから、メール受信者に対し注意を促すことを推奨する。
