Skip to main content

2013年下半期Tokyo SOC情報分析レポート、「見えない化」が進む


TOKYO - 05 3 2014:

2014年3月5日

2013年下半期Tokyo SOC情報分析レポート、「見えない化」が進む
ドライブ・バイ・ダウンロード攻撃は前年同期比2倍

日本IBM(社長:マーティン・イェッター)は、東京を含む世界10カ所のIBMセキュリティー・オペレーション・センター(SOC)にて2013年下半期(7月-12 月)に観測したセキュリティー・イベント情報に基づき、主として国内の企業環境で観測された脅威動向をまとめた「2013年下半期Tokyo SOC情報分析レポート」を発表しました。

IBM SOCは130カ国以上、約4,000社のお客様のシステムに対し、セキュリティー・イベントを分析することにより、お客様のセキュリティー対策を支援しています。IBM SOCでは、10年以上蓄積されてきたセキュリティー・インテリジェンスを解析エンジン(X-Force Protection System)へ実装し、1日200億件(毎秒約23万件)の膨大なデータをリアルタイムで相関分析しています。「Tokyo SOC 情報分析レポート」は、この解析結果を日本国内の動向にフォーカスして独自の見解を加え、半年ごとに公表している情報分析レポートです。

「2013年下半期Tokyo SOC情報分析レポート」が報告している主な動向は以下の通りです。

1.「ドライブ・バイ・ダウンロード攻撃」は 2012 年下半期比 2倍
改ざんされた Web サイトの閲覧によりマルウェア感染させられるドライブ・バイ・ダンロード攻撃 (見ただけ感染)は1,922件で、 2012 年下半期(956件)と比較して2倍の件数でした。また、ドライブ・バイ・ダウンロード攻撃の成功によって、マルウェアをダウンロードした件数が234件、成功率は12.2%でした。2013 年上半期は総数3,972件、成功数523件、成功率13.2%であり、継続して多数の攻撃が検知され、攻撃成功率の高い攻撃が頻発していました。さらに、マルウェアの配布が海外のWebサイトからだけでなく、日本のサイトからも行われるようになりました。

2.Webを侵入経路とした「日本の特定組織向け標的型攻撃」を確認
特定組織を標的とする攻撃の侵入経路として、メールだけでなくWebを利用する攻撃 が確認されました。2014年1月上旬にGRETECH社のGOM Playerのアップデート通信でマルウェアに感染させられる事例が話題となりましたが、Tokyo SOCでは GOM Playerのアップデート通信が確認された23 組織のうち1組織のみでマルウェアのダウンロードを確認しており、特定の組織が標的とされている実態が浮かび上がりました。

3.Apache Struts2の脆弱性を狙った攻撃が2.3倍に増加
2013 年下半期では、Web アプリケーション・フレームワークやコンテンツ・マネジメント・システム(CMS)の脆弱性を狙ったWeb サイトの 改ざんが増加しまた。特に Apache Struts2の脆弱性を狙った攻撃は、2013年上半期が30,425件、2013年下半期が68,527件と2.3 倍に増加していました。

Tokyo SOCでは、攻撃者が攻撃の効率を強く意識して攻撃の「見えない化」が進む中、高度な攻撃を「見える化」するためには、セキュリティー機器のアラート情報を分析するだけでなく、脅威の仕組み(シナリオ)を理解したうえで、システム横断的にログを収集してセキュリティー機器のアラート情報との相関分析を行うことが非常に重要と考えています。

膨大なログ収集とアラート情報の相関分析をリアルタイムかつ効率的に行うためには、収集・分析を自動化し、事前に定義された相関ルールによって分析の支援が可能な SIEM製品の利用が有効です。日本IBMでは、ネットワーク・セキュリティー運用監視サービス「Managed Network Security Services(MNSS)」とともに、セキュリティー・インテリジェンスを実現するソフトウェア「IBM® Security QRadar(キューレーダー)」を活用したセキュリティー・サービス「IBM Managed Security Information and Event Management (IBM Managed SIEM : IBM マネージド シーム) 」や、インシデントに対する適切な対応を支援するサービス「エマージェンシー・レスポンス支援サービス(ERS:Emergency Response Service)」を提供し、お客様のコンピューター・セキュリティーへの対応を支援します。

「2013年下半期 Tokyo SOC情報分析レポート」は次のWebサイトから入手できます。
URL : http://www.ibm.com/socreport0314

Tokyo SOCでは、ブログ「Tokyo SOC Report」で、セキュリティーに関する最新情報を随時紹介しています。

関連する XML feeds
Topics XML feeds
Corporate