ニュース

2015年上半期はメール添付型マルウェアの通信を多数検知、IBM Tokyo SOCレポート

 日本アイ・ビー・エム株式会社(日本IBM)は4日、東京を含む全世界10拠点のIBMセキュリティーオペレーションセンター(SOC)で2015年上半期(1月~6月)に観測された脅威動向などをまとめた「2015年上半期Tokyo SOC情報分析レポート」を発表した。

 2015年上半期には、メール添付型のマルウェアの通信を多数検知。日本年金機構の情報漏えい問題でも、メール経由でのマルウェア感染が大きく取りあげられたが、東京オペレーションセンター(Tokyo SOC)でもメール添付型のマルウェアに感染した端末が外部サーバーと通信するケースを検知したという。

 レポートでは、標的型攻撃に対しては防御だけを目的とした既存の対策に限界があると指摘。一方で、ばらまき型のメールウィルスに関しても不審なメールを開封しないようにコントロールすることが難しく、感染を想定した運用管理体制の構築が急務だとしている。

 2014年下半期に減少していたドライブバイダウンロード攻撃は増加傾向を示し、攻撃が確認された組織は前期の16.9%から40.5%に増加した。誘導元としては、改ざんされたウェブページ以外に、広告配信ネットワークを悪用してマルウェア感染サイトにリダイレクトするケースも見られており、観測されたドライブバイダウンロード攻撃の90%以上がFlash Playerの脆弱性を悪用するものだった。

 新たな脆弱性とそれを悪用する攻撃としては、2015年上半期にもglibの脆弱性「GHOST」、SSL/TLSの脆弱性「FREAK」などが確認されているが、2014年に発見された脆弱性であるShellShockやHeartbleedも、継続して攻撃が検知されていると指摘。脆弱性の公開直後から攻撃が発生する傾向にも変わりはないため、平時の情報収集やアセット管理の重要性が再認識されたとしている。

 また、セキュリティ脅威の動向に関する四半期ごとの調査「IBM X-Force 脅威に対するインテリジェンス・レポート:2015年第3四半期」も公開した。

 調査では、ランサムウェアが価値の高いコミュニティを攻撃するために、特定のファイル形式をターゲットにするように進化していると指摘。例えば「TeslaCrypt」は、オンラインゲームに関連したユーザーファイルを狙うことで、オンラインゲーマーをターゲットにしているという。

 このほか、匿名通信ネットワークの「Tor」が大規模なサイバー脅威を引き起こす犯罪者たちにも使用されており、ボットネットなどの不正目的に利用されていると指摘。また、2015年上半期に報告された新しい脆弱性は約4000件で、この傾向が続けば予想される年間の脆弱性の公表件数は2011年以来最も低い数値だとしている。

三柳 英樹