日本IBM チーフ・セキュリティ・アナリスト 井上 博文氏

日本IBMは8月27日に、2014年上半期のセキュリティ脅威動向をまとめた「2014年上半期Tokyo SOC情報分析レポート」を発表した。IBMがセキュリティー対策を実施している国内企業数百社でのインシデントを分析し、日本国内の動向をまとめたレポートだ。

8月27日に行われた発表会で、日本IBMのチーフ・セキュリティ・アナリストの井上博文氏は「今年1月から6月の上半期で、目立ったトピックは3つある」として、以下の3つの項目を取り上げた。

  • 「ドライブ・バイ・ダウンロード攻撃」の影響を21.9%の組織で確認

  • OpenSSLの脆弱性をつくHeartbleed攻撃を脆弱性公開から約1週間で100万件以上検知

  • 新たなApache Strutsの脆弱性(CVE-2014-0094等)に対する攻撃は限定的な範囲に留まる

企業でも多い「ドライブ・バイ・ダウンロード」、IEやAdobe Flash Playerの脆弱性を突く

ウェブサイトを見ただけでマルウェアに感染する「ドライブ・バイ・ダウンロード」は、個人での被害が多いように思えるが、実は企業でも被害がある。左の円グラフは上半期にドライブバイダウンロード攻撃の影響が確認された組織の割合で、21.9%の組織で「マルウェアのダウンロード」が発生していた。

つまり企業の2割以上で、サイト閲覧→脆弱性攻撃の被害→マルウェアダウンロードが起きていたことになる。これについて井上氏は「社員が昼休みにサイトを見たり、取引先・仕入先のサイトが改ざんされているというパターンが多いようだ。メールでの誘導もあり、標的型メールとスパムメールの中間的な詐欺メールで改ざんサイトに誘導している」と分析した。

上半期のドライブバイダウンロード攻撃は、件数自体は前年比で減ったものの、日本に特化した攻撃が多かったことが特徴だ。2月、3月にはIEの脆弱性を突いた攻撃が発生し、多くの国内Webサイトが改ざん被害を受けた。また、5月にはCDN(コンテンツ・デリバリー・ネットワーク)の改ざんが起こったほか、Adobe Flash Playerの脆弱性も狙われた。

特に5月の事件では、CDNetworksが改ざんされたことで、旅行会社・レンタルブログ・周辺機器メーカーのダウンロードサービスなどが被害を受けた。井上氏は「IEやFlash Playerの脆弱性が狙われた。脆弱性をタイムリーに修正できない・回避策が取れない企業が被害を受けている」としている。

これらの攻撃は、日本をターゲットにしていることが特徴だ。「明らかに日本狙い。銀行のログイン情報を盗むマルウェアに感染させることが目的のようだ」と井上氏はまとめている。

Heartbleed攻撃は、公開からわずか1週間で100万件以上の被害

今年4月に大きな問題になったOpenSSLの脆弱性を突くHeartbleed攻撃は、サーバー証明書の秘密鍵にまでアクセスされる可能性があったため、多くの管理者が対応に苦慮したようだ。Heartbleed攻撃の被害について井上氏は、「パッチをあてるために、サーバーを数日間止める決断をした管理者もいた。企業活動をストップさせるという被害が出ている」とのことだ。

日本IBM Tokyo SOCの観測によれば、脆弱性の公開直後から1日20万件前後の攻撃があり、1週間で100万件もの攻撃があった(日本IBMがセキュリティー対策を行っている企業での観測データ)。

100万件には、研究者やセキュリティ会社によるスキャナーも一部含まれているが、「スキャナーではなく、悪質な動きをする攻撃がかなりあった(井上氏)」とのことで、短期間で大量のHeartbleed攻撃があったことは確かだ。

Heartbleed攻撃の送信元IPアドレスは、アメリカが47.4%、イギリス31.9%、中国からが10.0%となっていた。それぞれ攻撃の手口が異なっており、アメリカはクラウドサービスを利用したもの、イギリスは特定プロバイダのADSLアドレスから特定企業が狙われていた。

井上氏は「中国からの攻撃では、特定のターゲットに対して、複数のIPアドレスに分散させて攻撃。また1アドレスあたり10件程度の攻撃に絞っていた。IPアドレスでのブロックを避けるためのテクニックだろう。」として、対策逃れの手口が使われていると分析している。

2014年上半期の3つ目のトピックは、Apache Strutsの脆弱性だ。脆弱性を狙う攻撃コードが公開されており、4月にIPAから注意喚起が行われた。Tokyo SOCでの観測では、Apache Strutsへの攻撃は数百件程度の攻撃が2度あっただけで、攻撃は限定的だったようだ。

ただし井上氏は「企業が使っているソフトウェア製品に、Apache Strutsが組み込まれている場合があり、対応が難しい。アセット管理(IT資産管理)が重要になることがわかった事例だった」としている。

今後の対策:スピード・アセット管理・侵入前提の対策が不可欠

この2014年上半期の状況をもとに、井上氏は企業に求められることとして以下の3つのポイントをまとめた。

まずは「スピード」だ。脆弱性公開とほぼ同時に攻撃コードが入手可能になった事案(Heartbleed攻撃)から見て、修正・回避策適用までのスピードが重要になっている。

2つ目は「アセット管理(IT資産管理)」。修正・回避策を迅速に行うために、アセット管理が不可欠になる。

そして3つ目は「侵入前提の運用体制」。井上氏は「修正・回避策を適用できない局面もあるだろう。その場合、侵入されることを前提として、分析システムが有効に機能しているか、その情報を迅速に分析できるか、という点が重要になる」としている。侵入されても分析・対応ができるだけの運用体制が重要になってくる。