ニュース
2016年下半期はランサムウェアや金融マルウェアがさらに増加、IoT機器からの攻撃も観測~IBM Tokyo SOCレポート
2017年3月17日 15:40
日本アイ・ビー・エム株式会社(以下、日本IBM)は17日、東京を含む全世界10拠点の「IBMセキュリティー・オペレーション・センター(SOC)」の観測情報に基づき、主に日本国内企業で観測された脅威動向を分析した「2016年下半期Tokyo SOC情報分析レポート」を発表した。
2016年下半期(7月~12月)には、不正な添付ファイルを使用した攻撃がさらに増え、Tokyo SOCで検知した不正メールの件数は2016年上半期と比較して約2.5倍に増加。不正な添付ファイルの94.9%は、ランサムウェア「Locky」への感染を狙ったもので、件名や添付ファイル名に日本語を使用した不正なメールに限定すると、添付ファイルの97.8%は「Ursnif」などの金融マルウェアだった。
2016年下半期には、IoTデバイスのデフォルトアカウントを使用する攻撃として、マルウェア「Mirai」に乗っ取られたと考えられる機器からの不正なログインの試みが、継続して検知された。この攻撃では、ログインに成功した場合、さらに別のIoT機器に対して不正なログインを試みて感染を広げるとともに、攻撃者からの指令によってDDoS攻撃が行われるものと考えられている。
レポートでは、このようなマルウェアに代表される、インターネットに接続されたIoTデバイス乗っ取りによるDDoS攻撃が脅威となっており、IoTデバイスに対するメーカー、ユーザー双方のセキュリティー対策が急務だと指摘している。
また、2016年上半期、下半期を通して確認された攻撃指令サーバー(C&Cサーバー)との通信について、C&Cサーバーで使用されたドメイン名を調査した結果では、通信が確認された日より1年以上前にそのドメイン名が取得されているケースが、全体の約80.1%を占めたという。このことから、立ち上げたまま長らく放置されているようなサーバーが、攻撃者に悪用されていることが推測されるとしている。