2016年下半期はランサムウェアや金融マルウェアがさらに増加、IoT機器からの攻撃も観測～IBM Tokyo SOCレポート

　日本アイ・ビー・エム株式会社（以下、日本IBM）は17日、東京を含む全世界10拠点の「IBMセキュリティー・オペレーション・センター（SOC）」の観測情報に基づき、主に日本国内企業で観測された脅威動向を分析した「2016年下半期Tokyo SOC情報分析レポート」を発表した。

　2016年下半期（7月～12月）には、不正な添付ファイルを使用した攻撃がさらに増え、Tokyo SOCで検知した不正メールの件数は2016年上半期と比較して約2.5倍に増加。不正な添付ファイルの94.9％は、ランサムウェア「Locky」への感染を狙ったもので、件名や添付ファイル名に日本語を使用した不正なメールに限定すると、添付ファイルの97.8％は「Ursnif」などの金融マルウェアだった。

　2016年下半期には、IoTデバイスのデフォルトアカウントを使用する攻撃として、マルウェア「Mirai」に乗っ取られたと考えられる機器からの不正なログインの試みが、継続して検知された。この攻撃では、ログインに成功した場合、さらに別のIoT機器に対して不正なログインを試みて感染を広げるとともに、攻撃者からの指令によってDDoS攻撃が行われるものと考えられている。

　レポートでは、このようなマルウェアに代表される、インターネットに接続されたIoTデバイス乗っ取りによるDDoS攻撃が脅威となっており、IoTデバイスに対するメーカー、ユーザー双方のセキュリティー対策が急務だと指摘している。

　また、2016年上半期、下半期を通して確認された攻撃指令サーバー（C&Cサーバー）との通信について、C&Cサーバーで使用されたドメイン名を調査した結果では、通信が確認された日より1年以上前にそのドメイン名が取得されているケースが、全体の約80.1％を占めたという。このことから、立ち上げたまま長らく放置されているようなサーバーが、攻撃者に悪用されていることが推測されるとしている。