このレポートでは、JSOCが監視しているIDS/IPS、サンドボックス、ファイアウォール機器において、2016年4月から6月までの間に検知したセキュリティ攻撃を、ラックのセキュリティアナリストが分析し、インシデント傾向に加え、特に注目すべき脅威について、詳細に説明している。その概要は次のとおり。
・相次ぐApache Struts 2の脆弱性公開
Apache Struts 2において、緊急度の高い脆弱性が相次いで報告された。脆弱性公開直後は、本脆弱性を悪用する攻撃の検知はなかったが、本脆弱性の検証コードが公開された直後より攻撃を検知し始めた。
これらの攻撃から身を守るためには、修正済みバージョンへのアップデートなどの脆弱性対策を早急に実施できる体制づくりが必要。また、実際に被害が発生した際に、インシデント対応が即座に行える組織づくりも重要。
・Ursnifの感染事例の急増
Ursnifと呼ばれるマルウェア感染が多発しており、さまざまな企業・機関から注意喚起が発表されている。Ursnifの感染経路は、エクスプロイトキットからの誘導による感染や、不審メールに添付されたファイルの開封・実行による感染が挙げられる。
特に不審メール経由の感染では、メールの件名や添付ファイル名、本文の内容が日本語で送付されている場合が多く、一見して不審であると断定する要素が少ない点が特徴だった。
・ランサムウェアへの感染を誘導する不審メールの増加
ランサムウェアへの感染を誘導する不審なメールが増加している。JSOCで受信した不審メールの統計をとったところ、受信時間は特定の時間帯に集中しており、特にLockyへの感染を誘導する添付ファイルが多数を占めていた。
Lockyが利用するC2サーバのIPアドレスやドメインは日々更新されていたが、URLのパス部分は一定期間継続して利用される点が特徴的だった。Ursnifやランサムウェアの感染を狙う不審メールが減少する兆候はなく、今後も注意が必要。
