日本IBMはこのほど、2014年下半期のセキュリティ脅威動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を発表した。IBMが提供している「X-Force Protection System」で、国内の顧客4000社の情報を、集約・分析したものだ。

日本IBM シニア・セキュリティー・アナリストの猪股 秀樹氏は、2014年下半期のトピックとして、「ShellShock攻撃はボットプログラム埋め込みが目的」「ドライブ・バイ・ダウンロード攻撃は減少」「マクロ添付メールの被害拡大」の3点をあげた。

日本IBM シニア・セキュリティー・アナリストの猪股 秀樹氏

ShellShock攻撃はDDos・スパム送信を行うサイバー犯罪グループによるものか

まずIBM SOC(Security Operation Center)によるセキュリティアラート(分析すべき攻撃の警告表示)のグラフを見ると、9月から11月にかけて大きな山がある。この山のほとんどはShellShock攻撃のアラートだ。多くのサーバーにあるUNIXのShell・Bashの脆弱性が発見され、任意のコマンドをサーバー上で動かすことができたため、大きな問題になったことは記憶に新しい。

Bashの脆弱性は9月25日に公開されているが、攻撃はその日から始まっていた。そして10月中旬にピークを迎え、最大で1日60万件の攻撃を検知している。攻撃のほとんどは、DDoSボットプログラムを動作させることを目的とするものだった。

実際の攻撃コマンドを見ると、外部のサイトから不正なプログラムをダウンロードし、perlで実行、その後にDDos攻撃・スパムメール送信が行われていた。

IBM SOCの観測によると、攻撃のほぼすべてが不正なプログラムをダウンロードして実行するもので、情報を盗み取るものはわずか1.4%だったとのこと。また、攻撃元はクラウドのホスティングサーバーが多く、IPアドレスを見ると上位5アドレスだけで全体の35%を占めていた。

犯行グループのプロファイルについて猪股氏は、DDoS攻撃・スパム送信が主なこと、ボットプログラムは2012年の古いツールであること、送信元が限られていることなどから「推測にはなるが、ボットプログラムを埋め込んで販売、DDoS攻撃・スパム送信などの代行を行っている業者の可能性も考えられる」とした。

興味深いのはShellShockでの攻撃先URLだ。ダントツと言ってもいいほど多かったのは、CMSでおなじみの「Movable Type」の管理画面だった。また問題になったNASの管理画面のURLも上位にある。これらCMSやNASの管理画面URLは、デフォルのままで使われることが多いため、犯人にとって格好の攻撃先となったようだ。猪股氏によれば「ShellShockの自動攻撃ツールが出回っており、その中に有名なCMSや機器の管理画面URLが組み込まれているのだろう」と分析した。

ドライブ・バイ・ダウンロード攻撃は減少。Javaの大きな脆弱性がなかったためか

2014年上半期はウェブサイトを改ざんし、閲覧者をマルウェアに感染させるドライブ・バイ・ダウンロード攻撃が多かった(以前の記事「国内企業の2割がドライブ・バイ・ダウンロード被害 - IBM SOCレポート」参照)。上半期では組織の21.9%でドライブ・バイ・ダウンロードの被害が確認されていたが、下半期は11.3%と半分程度に減っている。

これについて猪俣氏は「下半期はウェブサイトの改ざん件数が減ったため、ドライブ・バイ・ダウンロードの被害も落ち着いた。理由としては犯人側が脆弱性攻撃よりも、メール添付の攻撃のほうが成功率が高いと考えた可能性がある。また下半期はJavaの大きな脆弱性がなかったことも要因の1つだろう。ドライブ・バイ・ダウンロード攻撃では、多くがJavaの脆弱性を使っているので、脆弱性が抑えられれば被害も減ると思われる」とした。

原始的なメール添付のWordマクロウイルスによる被害

それに対し「メールを悪用する攻撃」が目立ってきている。メールの添付ファイルでマルウェアに感染させるものだが、手口はとても原始的だ。脆弱性を攻撃するものはごく少数(1.3%)で、Microsoft Wordドキュメントを添付してマクロを使うものが38.8%、実行形式のものが59.9%だった。

注目すべきはMS Wordマクロを使うマルウェアは「すべてがオンラインバンキングの情報窃取を目的とするもの(猪俣氏)」だったこと。オンラインバンキングの不正送金マルウェアが、以前のドライブ・バイ・ダウンロード中心から、メール添付へと手口を変えている可能性がある。

MS Wordはデフォルトでマクロが無効になっているほか、マクロ実行時には「マクロを実行しますか?」という警告の表示が出るにも関わらず、企業などでマクロウイルスの被害が出るのはなぜだろうか。猪俣氏は「業務のためにWordマクロを有効にしている企業がある。社員に教育しても、巧妙な添付ファイルだと開いてしまう人が多い。単に教育するだけでなく、何らかのシステム上の対策が必要だろう」と注意を促した。

これらのトピックスをふまえ、猪俣氏は対策を以下のようにまとめた。

「まずはスピード。インシデント情報を早く捉えて、いち早く対策する体制が不可欠だ。また侵入されることを前提として、情報ソースを分析する必要がある。分析ツールが有効に機能しているか、運用体制は十分かをチェックするべきだろう」

企業へのセキュリティ脅威は、新しい技術や手口だけではなく、Wordのマクロウイルスのように古いものも使われている。古いがゆえに対策が忘れられているということもあるから、改めて運用体制を見直したい。

またShellShockでの攻撃先URLでわかったように、CMSやハードウェアの固定URL・管理URLは、外部から攻撃されやすい。URLの変更や、徹底的な監視が必要である。