【レポート】

Shellshock攻撃は、MovableType・NASなどの管理画面をターゲットに - 2014年下半期IBM Tokyo SOC分析レポート

 

日本IBMはこのほど、2014年下半期のセキュリティ脅威動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を発表した。IBMが提供している「X-Force Protection System」で、国内の顧客4000社の情報を、集約・分析したものだ。

日本IBM シニア・セキュリティー・アナリストの猪股 秀樹氏は、2014年下半期のトピックとして、「ShellShock攻撃はボットプログラム埋め込みが目的」「ドライブ・バイ・ダウンロード攻撃は減少」「マクロ添付メールの被害拡大」の3点をあげた。

日本IBM シニア・セキュリティー・アナリストの猪股 秀樹氏

ShellShock攻撃はDDos・スパム送信を行うサイバー犯罪グループによるものか

まずIBM SOC(Security Operation Center)によるセキュリティアラート(分析すべき攻撃の警告表示)のグラフを見ると、9月から11月にかけて大きな山がある。この山のほとんどはShellShock攻撃のアラートだ。多くのサーバーにあるUNIXのShell・Bashの脆弱性が発見され、任意のコマンドをサーバー上で動かすことができたため、大きな問題になったことは記憶に新しい。

Bashの脆弱性は9月25日に公開されているが、攻撃はその日から始まっていた。そして10月中旬にピークを迎え、最大で1日60万件の攻撃を検知している。攻撃のほとんどは、DDoSボットプログラムを動作させることを目的とするものだった。

実際の攻撃コマンドを見ると、外部のサイトから不正なプログラムをダウンロードし、perlで実行、その後にDDos攻撃・スパムメール送信が行われていた。

IBM SOCの観測によると、攻撃のほぼすべてが不正なプログラムをダウンロードして実行するもので、情報を盗み取るものはわずか1.4%だったとのこと。また、攻撃元はクラウドのホスティングサーバーが多く、IPアドレスを見ると上位5アドレスだけで全体の35%を占めていた。

犯行グループのプロファイルについて猪股氏は、DDoS攻撃・スパム送信が主なこと、ボットプログラムは2012年の古いツールであること、送信元が限られていることなどから「推測にはなるが、ボットプログラムを埋め込んで販売、DDoS攻撃・スパム送信などの代行を行っている業者の可能性も考えられる」とした。

興味深いのはShellShockでの攻撃先URLだ。ダントツと言ってもいいほど多かったのは、CMSでおなじみの「Movable Type」の管理画面だった。また問題になったNASの管理画面のURLも上位にある。これらCMSやNASの管理画面URLは、デフォルのままで使われることが多いため、犯人にとって格好の攻撃先となったようだ。猪股氏によれば「ShellShockの自動攻撃ツールが出回っており、その中に有名なCMSや機器の管理画面URLが組み込まれているのだろう」と分析した。

ドライブ・バイ・ダウンロード攻撃は減少。Javaの大きな脆弱性がなかったためか

2014年上半期はウェブサイトを改ざんし、閲覧者をマルウェアに感染させるドライブ・バイ・ダウンロード攻撃が多かった(以前の記事「国内企業の2割がドライブ・バイ・ダウンロード被害 - IBM SOCレポート」参照)。上半期では組織の21.9%でドライブ・バイ・ダウンロードの被害が確認されていたが、下半期は11.3%と半分程度に減っている。

これについて猪俣氏は「下半期はウェブサイトの改ざん件数が減ったため、ドライブ・バイ・ダウンロードの被害も落ち着いた。理由としては犯人側が脆弱性攻撃よりも、メール添付の攻撃のほうが成功率が高いと考えた可能性がある。また下半期はJavaの大きな脆弱性がなかったことも要因の1つだろう。ドライブ・バイ・ダウンロード攻撃では、多くがJavaの脆弱性を使っているので、脆弱性が抑えられれば被害も減ると思われる」とした。

原始的なメール添付のWordマクロウイルスによる被害

それに対し「メールを悪用する攻撃」が目立ってきている。メールの添付ファイルでマルウェアに感染させるものだが、手口はとても原始的だ。脆弱性を攻撃するものはごく少数(1.3%)で、Microsoft Wordドキュメントを添付してマクロを使うものが38.8%、実行形式のものが59.9%だった。

注目すべきはMS Wordマクロを使うマルウェアは「すべてがオンラインバンキングの情報窃取を目的とするもの(猪俣氏)」だったこと。オンラインバンキングの不正送金マルウェアが、以前のドライブ・バイ・ダウンロード中心から、メール添付へと手口を変えている可能性がある。

MS Wordはデフォルトでマクロが無効になっているほか、マクロ実行時には「マクロを実行しますか?」という警告の表示が出るにも関わらず、企業などでマクロウイルスの被害が出るのはなぜだろうか。猪俣氏は「業務のためにWordマクロを有効にしている企業がある。社員に教育しても、巧妙な添付ファイルだと開いてしまう人が多い。単に教育するだけでなく、何らかのシステム上の対策が必要だろう」と注意を促した。

これらのトピックスをふまえ、猪俣氏は対策を以下のようにまとめた。

「まずはスピード。インシデント情報を早く捉えて、いち早く対策する体制が不可欠だ。また侵入されることを前提として、情報ソースを分析する必要がある。分析ツールが有効に機能しているか、運用体制は十分かをチェックするべきだろう」

企業へのセキュリティ脅威は、新しい技術や手口だけではなく、Wordのマクロウイルスのように古いものも使われている。古いがゆえに対策が忘れられているということもあるから、改めて運用体制を見直したい。

またShellShockでの攻撃先URLでわかったように、CMSやハードウェアの固定URL・管理URLは、外部から攻撃されやすい。URLの変更や、徹底的な監視が必要である。



転職ノウハウ

あなたが本領発揮できる仕事を診断
あなたの仕事適性診断

シゴト性格・弱点が20の質問でサクッと分かる!

「仕事辞めたい……」その理由は?
「仕事辞めたい……」その理由は?

71%の人が仕事を辞めたいと思った経験あり。その理由と対処法は?

3年後の年収どうなる? 年収予報
3年後の年収どうなる? 年収予報

今の年収は適正? 3年後は? あなたの年収をデータに基づき予報します。

激務な職場を辞めたいが、美女が邪魔して辞められない
激務な職場を辞めたいが、美女が邪魔して辞められない

美人上司と可愛い過ぎる後輩に挟まれるエンジニアの悩み

人気記事

一覧

イチオシ記事

新着記事

夫婦のLINE 第127回 マジで具合が悪くなった
[17:30 7/26] ライフスタイル
40・50代女性が感じる身体の悩み1位は「肩こり」 ‐ 心の調子は?
[17:29 7/26] ヘルスケア
アスクルとマネーフォワード、経費精算サービス提供開始
[17:26 7/26] マネー
スマホ保有者が初の50%超え - 総務省調査
[17:24 7/26] マネー
VAIOは独りで生きていく - 黒字化した3年目は新事業へ投資
[17:24 7/26] パソコン

求人情報