IBMのSOCは、全世界で提供するMSSで10年以上蓄積されてきたセキュリティー・インテリジェンスを相関分析エンジン(X-Force Protection System)として実装し、1日あたり約200億件(毎秒約23万件)のログをリアルタイムで解析しているという。その解析結果を、日本国内の動向にフォーカスして独自の見解を加えた「Tokyo SOC情報分析レポート」として、半年ごとに公表している。
今回公表された「2012年下半期Tokyo SOC 情報分析レポート」では、短時間かつ集中的な特定のターゲットへの攻撃が増加している傾向を示しており、攻撃者の最終的な目的である情報の窃取や情報システムの破壊を防ぐためには、多層的な対策が有効であると指摘している。
同時に、従来の防御策をくぐり抜ける巧妙化した攻撃の出現と、それらを検知するためには、システムのセキュリティーに係るあらゆるログを集積し解析した「セキュリティー・ビッグデータ」の活用が重要であるとしている。
「2012年下半期Tokyo SOC 情報分析レポート」で報告された主な動向は次のとおり。
1. 標的型メール攻撃は前年度比約2.5倍に増加
特定の企業や個人に、不正な添付ファイルを含むメールを送信する攻撃手法である「標的型メール攻撃」は、今期は前期比約1.4倍、2011年下半期との比較では約2.5倍強の攻撃が観測されるなど、引き続き増加傾向にあるという。従来のAdobe ReaderやMicrosoft Officeの脆弱性を悪用するものに加えて、新たにAdobe Flash Playerの脆弱性を悪用するなど、攻撃者が新たな手法を取り入れようとしている傾向がみられるという。
こうした標的型メール攻撃は、攻撃の第一段階に過ぎず、攻撃者の最終目的は情報の奪取や内部システムの破壊にあるとして、不正なメールを防御するなどの入口対策だけではなく、ネットワーク内部での不正な挙動の監視や、マルウェアのC&C(Command & Control)通信の監視を行う出口対策を多角的な視点で実施することが必要だとしている。
2. ドライブ・バイ・ダウンロード攻撃の成功率はJREで50%超
一般のWebサイトを不正に改ざんし、それを閲覧したユーザーを自動的に不正な攻撃サーバーへリダイレクトさせ、クライアントPCの脆弱性を悪用してマルウェアに感染させる「ドライブ・バイ・ダウンロード攻撃」は、依然として高い危険度にあるという。「ドライブ・バイ・ダウンロード攻撃」によるマルウェアのダウンロード成功率は26%で、特にOracle Java Runtime Environment(JRE)の脆弱性を悪用した攻撃の成功率は50%超に達しているいう。
これらの攻撃を防ぐためには、アプリケーションやプラグイン等も含めたクライアントPCでのパッチ管理と、URLフィルター等によるWebアクセスの制御、脆弱性対策、ウイルス対策といった多層的な対策が有効だとしている。
また、マルウェアがセキュリティー境界をくぐり抜ける例も確認されているという。セキュリティー製品やネットワーク機器のログを分析し、通常とは異なる疑わしい通信の有無などからマルウェアの侵入にいち早く気づき、被害を最小限に抑える体制を整えることが重要だという。
3. 成功率が高いサイトに狙いを定めたWebアプリケーションへの攻撃
Webアプリケーションに対する攻撃は、SQLインジェクション攻撃に代表される脆弱性を狙った攻撃が全体の9割弱を占めているという。SQLインジェクション攻撃は、Webサイトと連携するデータベースを不正に操作することで、データの改ざんやデータの窃取を目的としているという。
従来のような調査活動なしに侵入を試みる稚拙な攻撃行為が継続して減少傾向にある一方で、今期は短期間に特定のターゲットに対してMicrosoft SQL Serverを狙うSQLインジェクション攻撃を確認しており、事前にターゲットを絞り込んで成功率が高いサイトを狙うようになっているという。
しかし、攻撃内容自体に目新しい点はなく、基本的なWebアプリケーションの脅威への対策が行われていれば防ぐことが可能だという。開発時にセキュリティー要件を盛り込むことだけではなく、開発プロセスにおいてセキュリティー要件が実装されているかを脆弱性診断によって検証することが重要だとしている。
■「2012年下半期Tokyo SOC情報分析レポート」のダウンロード
http://www.ibm.com/services/jp/its/pdf/tokyo_soc_report2012_h2.pdf
