2014年上半期Tokyo SOC情報分析レポート、ドライブ・バイ・ダウンロード攻撃の影響を21.9%で確認


TOKYO - 27 8 2014:

2014年8月27日

2014年上半期Tokyo SOC情報分析レポート、
ドライブ・バイ・ダウンロード攻撃の影響を21.9%で確認

日本IBM(社長:マーティン・イェッター)は、東京を含む世界10カ所のIBMセキュリティー・オペレーション・センター(SOC)にて2014年上半期(1月-6 月)に観測したセキュリティー・イベント情報に基づき、主として国内の企業環境で観測された脅威動向をまとめた「2014年上半期Tokyo SOC情報分析レポート」を発表しました。

IBM SOCは130カ国以上、約4,000社のお客様のシステムに対し、セキュリティー・イベントを分析することにより、お客様のセキュリティー対策を支援しています。IBM SOCでは、10年以上蓄積されてきたセキュリティー・インテリジェンスを解析エンジン(X-Force Protection System)へ実装し、1日200億件(毎秒約23万件)の膨大なデータをリアルタイムで相関分析しています。「Tokyo SOC 情報分析レポート」は、この解析結果を日本国内の動向にフォーカスして独自の視点で分析・解説したものを、半年ごとに公表している情報分析レポートです。

「2014年上半期Tokyo SOC情報分析レポート」が報告している主な動向は以下の通りです。

1.「ドライブ・バイ・ダウンロード攻撃」の影響を21.9%の組織で確認
改ざんされたWebサイトの閲覧によりマルウェアに感染させられるドライブ・バイ・ダウンロード攻撃(見ただけ感染)は今期も引き続き検知しており、Tokyo SOCでクライアント環境を監視している対象のうち全体の21.9%の組織でマルウェアのダウンロードのステップまで至っていました。ダウンロードに至っている組織は、従来から指摘されているようにJREやAdobe製品などの脆弱性バージョンのコントロールができていない、または難しい環境にあると言えます。

2.OpenSSLの脆弱性をつくHeartbleed攻撃を脆弱性公開から約1週間で100万件以上検知
大規模な攻撃が発生したHeartbleed では、脆弱性公開から最初の約1週間に100万件以上の攻撃が集中しました。特定の組織をターゲットにした執拗な攻撃も確認されています。この攻撃は現在でも一定量が検知される状況が続いています。本件は、バージョンアップやIPSでの防御設定など、組織内で迅速に対応が可能な体制が整っているかが問われる事例となりました。

3.新たなApache Strutsの脆弱性(CVE-2014-0094等)に対する攻撃は限定的な範囲に留まる
2014年4月に話題となったApache Strutsの脆弱性を狙った攻撃は、広範囲にわたる攻撃ではなく、特定の送信元・送信先間の検知に留まりました。従来の脆弱性(CVE-2010-1870他)に関しては現在も複数の組織で検知が継続しているのとは対照的な検知状況となっています。

Tokyo SOCでは、高度化・複雑化するサイバー脅威に対応し続けるため、また、昨今注目されている内部不正に対応するには、先進的なインターネット・セキュリティーセキュリティー対策をとる必要があると考えています。そのためには、機器のアラート情報を分析するだけでなく、脅威の仕組み(シナリオ)を理解したうえで、システム横断的にログを収集してセキュリティー機器のアラート情報との相関分析を行うことが非常に重要です。

膨大なログ収集とアラート情報の相関分析をリアルタイムかつ効率的に行うためには、収集・分析を自動化し、事前に定義された相関ルールによって分析の支援が可能な SIEM製品の利用が有効です。日本IBMでは、ネットワーク・セキュリティー運用監視サービス「Managed Network Security Services(MNSS)」とともに、セキュリティー・インテリジェンスを実現するソフトウェア「IBM® Security QRadar(キューレーダー)」を活用したセキュリティー・サービス「IBM Managed Security Information and Event Management (IBM Managed SIEM : IBM マネージド シーム) 」や、インシデントへの適切な対応を支援するサービス「エマージェンシー・レスポンス支援サービス(ERS:Emergency Response Service)」を提供し、お客様のサイバー・セキュリティーへの対応を支援します。

Tokyo SOCは、本年5月にリニューアルし、従来の「セキュリティー運用監視サービス」の日本の拠点としての機能に加え、セキュリティー製品の技術検証やデモなどをビジネ ス・パートナーと実施するセキュリティー・ビジネス・センターの機能や、国内のセキュリティー人材育成を支援する機能も備え、日本のお客様に向けてさまざまなセキュリティーの支援を展開しています。

「2014年上半期 Tokyo SOC情報分析レポート」はこちらから入手できます。

関連する XML feeds
Topics XML feeds
Corporate