IBM SOCは130カ国以上、約4,000社のシステムに対し、セキュリティー・イベントを分析することにより、セキュリティー対策を支援している。
IBM SOCでは、10年以上蓄積されてきたセキュリティー・インテリジェンスを相関解析エンジン(X-Force Protection System)へ実装し、1日あたり200億件(毎秒約23万件)以上の膨大なデータをリアルタイムで相関分析している。
「Tokyo SOC 情報分析レポート」は、この解析結果を日本国内の動向にフォーカスして独自の視点で分析・解説したものを、半年ごとに公表している情報分析レポート。
また、IBM X-Forceは、民間セキュリティー研究開発チームの1つとして、膨大な量のイベントやマルウェアのサンプルをリアルタイムで相関分析し、脅威や脆弱性の研究と監視に取り組んでいる。
これらの脅威に対する企業システムの保護を支援するため、IBMのセキュリティー製品群への脆弱性に関する情報の反映や、Tokyo SOCをはじめとするSOCにて提供するマネージド・セキュリティー・サービスなどとの連携を図っているという。
「IBM X-Force 脅威に対するインテリジェンス・レポート」は、これらの活動に基づいたセキュリティー脅威の動向に関する調査として、四半期ごとに発行している。
「2015年上半期Tokyo SOC 情報分析レポート」の概要
「2015年上半期Tokyo SOC 情報分析レポート」では、次のような報告がまとめられている。
1. メール添付型のマルウェアの通信を多数検知
日本年金機構の報道でも、メール経由でのマルウェア感染が大きく取りあげられたが、Tokyo SOCでもメール添付型のマルウェアに感染した端末が外部サーバーと通信するケースを検知している。
標的型攻撃に対して防御だけを目的とした既存の対策に限界があり、一方、ばらまき型のメールウィルスに関しても不審なメールを開封しないようにコントロールすることが難しいことが分かる。まさに感染を想定した運用管理体制の構築が急務となっている。
2. 約40%の組織でドライブ・バイ・ダウンロードの攻撃を確認
2014年下半期に減少していたドライブ・バイ・ダウンロード攻撃は増加傾向を示し、攻撃が確認された組織は前期の16.9%から40.5%に増加した。また、誘導元として改ざんされたWebページ以外に、広告配信ネットワークを悪用してマルウェア感染サイトにリダイレクトするケースも見られた。
また、観測されたドライブ・バイ・ダウンロード攻撃の90%以上がAdobe Flash Playerの脆弱性を悪用するものだった。
3. 相次ぐ脆弱性と継続する過去の脆弱性への攻撃
GHOST、FREAK、Logjam、VENOMといった新たな脆弱性が発見されるとともに、2014年のShellShockやHeartbleedも継続して攻撃を検知している。脆弱性の公開直後から攻撃が発生する傾向にも変わりはないため、平時の情報収集やアセット管理の重要性が再認識された。
「IBM X-Force 脅威に対するインテリジェンス・レポート:2015年第3四半期」の概要
「IBM X-Force 脅威に対するインテリジェンス・レポート:2015年第3四半期」では、次のような報告がまとめられている。
1. ランサムウェアの進化
ランサムウェアは、価値の高いコミュニティーを攻撃するために、特定のファイル形式をターゲットにするように進化している。例えば、TeslaCryptは、オンライン・ゲームに関連したユーザー・ファイルを狙うことで、オンライン・ゲーマーをターゲットにしている。
2. Tor(トーア)が不正目的に使用される
大規模なサイバー脅威を引き起こす犯罪者たちは、匿名で通信することができるTor(トーア)を使用していることが分かった。Torが提供する攻撃基盤により、匿名の攻撃者として悪意のあるボットネットの操作を、悪質なネットワークや転送に利用することが可能。
Torを難読化すると不法行為者の匿名性をさらに強化することになる。また、攻撃の物理的な出どころをわかりにくくし、特定の地域から攻撃しているように見せる。
3. 2015年上半期は4,000件を上回る脆弱性が公表される
2015年上半期は、4,000件をわずかに上回る新しいセキュリティーの脆弱性が報告された。現在の傾向が続けば、予想される脆弱性の公表件数は合計で約8,000件となり、2011年以来最も低い数値となる。
