IBMでは、全世界10拠点のSOCで15年以上蓄積されてきたセキュリティー・インテリジェンスを相関分析エンジン(X-Force Protection System)へ実装し、1日あたり200億件以上の膨大なデータをリアルタイムで相関分析している。これらを活用し、IBM SOCでは133か国、約4,000社以上のシステムに対しセキュリティー対策を支援している。
2016年上半期(1月~6月)にTokyo SOCで観測された攻撃を分析した結果、以下の実態が浮かび上がった。
1. メールを利用した不正な添付ファイルによる攻撃が前期比16.4倍に増加
今期はメールによる攻撃が活発に行われ、Tokyo SOCで検知した不正メールの件数は2015年下半期と比較し16.4倍に急増した。また、不正な添付ファイルの形式はZIPで圧縮されたJavaScript形式のファイルが大半を占め、感染するマルウェアも多くはランサムウェアまたは金融マルウェアとなっていた。
一方で、ドライブ・バイ・ダウンロード攻撃の検知件数は、前期の6分の1以下と大幅に減少している。企業側の脆弱性対策が進んだことなど複数の要因が影響し、攻撃者側が脆弱性を悪用しないメールによる攻撃手法へ移行していると考えられる。
2. 日本語を利用したメールによる攻撃では正規のメールや公開情報を流用
メールを利用した攻撃において日本語を利用しているケースでは、以前のような不自然な日本語で記載された文面だけではなく、正規のメールや公開情報を流用したと考えられる自然な日本語の文面が利用されており、文面のみでは不正なメールかどうかの判断をすることが困難な状況が浮かび上がった。また、日本語の文面を利用した不正なメールによって感染するマルウェアのほとんどは金融マルウェアであることも判明した。
3. 公開サーバーに対する攻撃の送信元IPアドレスの18.4%が30日以上継続的に活動
今期、Tokyo SOCで検知した公開サーバーに対する攻撃の送信元IPアドレスの活動期間を分析したところ、1日未満の活動期間のものが66.8%と多くを占めるものの、30日以上継続的に活動しているものも18.4%確認された。
攻撃者は、攻撃の検知を逃れるために送信元IPアドレスを頻繁に変更していると一般的には考えられているが、分析の結果より、攻撃者の多くは利用できる攻撃ホストが使える限り使い続けるという戦略をとっていると推測される。そのため、IPアドレスのブラックリスト方式による検知・防御は一定の効果があると考えられる。