国内企業の2割がドライブ・バイ・ダウンロード被害 - IBM SOCレポート

日本IBM チーフ・セキュリティ・アナリスト井上博文氏

日本IBMは8月27日に、2014年上半期のセキュリティ脅威動向をまとめた「2014年上半期Tokyo SOC情報分析レポート」を発表した。IBMがセキュリティー対策を実施している国内企業数百社でのインシデントを分析し、日本国内の動向をまとめたレポートだ。

8月27日に行われた発表会で、日本IBMのチーフ・セキュリティ・アナリストの井上博文氏は「今年1月から6月の上半期で、目立ったトピックは3つある」として、以下の3つの項目を取り上げた。

「ドライブ・バイ・ダウンロード攻撃」の影響を21.9%の組織で確認
OpenSSLの脆弱性をつくHeartbleed攻撃を脆弱性公開から約1週間で100万件以上検知
新たなApache Strutsの脆弱性(CVE-2014-0094等)に対する攻撃は限定的な範囲に留まる

企業でも多い「ドライブ・バイ・ダウンロード」、IEやAdobe Flash Playerの脆弱性を突く

ウェブサイトを見ただけでマルウェアに感染する「ドライブ・バイ・ダウンロード」は、個人での被害が多いように思えるが、実は企業でも被害がある。左の円グラフは上半期にドライブバイダウンロード攻撃の影響が確認された組織の割合で、21.9%の組織で「マルウェアのダウンロード」が発生していた。

つまり企業の2割以上で、サイト閲覧→脆弱性攻撃の被害→マルウェアダウンロードが起きていたことになる。これについて井上氏は「社員が昼休みにサイトを見たり、取引先・仕入先のサイトが改ざんされているというパターンが多いようだ。メールでの誘導もあり、標的型メールとスパムメールの中間的な詐欺メールで改ざんサイトに誘導している」と分析した。

上半期のドライブバイダウンロード攻撃は、件数自体は前年比で減ったものの、日本に特化した攻撃が多かったことが特徴だ。2月、3月にはIEの脆弱性を突いた攻撃が発生し、多くの国内Webサイトが改ざん被害を受けた。また、5月にはCDN(コンテンツ・デリバリー・ネットワーク)の改ざんが起こったほか、Adobe Flash Playerの脆弱性も狙われた。

特に5月の事件では、CDNetworksが改ざんされたことで、旅行会社・レンタルブログ・周辺機器メーカーのダウンロードサービスなどが被害を受けた。井上氏は「IEやFlash Playerの脆弱性が狙われた。脆弱性をタイムリーに修正できない・回避策が取れない企業が被害を受けている」としている。

これらの攻撃は、日本をターゲットにしていることが特徴だ。「明らかに日本狙い。銀行のログイン情報を盗むマルウェアに感染させることが目的のようだ」と井上氏はまとめている。

Heartbleed攻撃は、公開からわずか1週間で100万件以上の被害

今年4月に大きな問題になったOpenSSLの脆弱性を突くHeartbleed攻撃は、サーバー証明書の秘密鍵にまでアクセスされる可能性があったため、多くの管理者が対応に苦慮したようだ。Heartbleed攻撃の被害について井上氏は、「パッチをあてるために、サーバーを数日間止める決断をした管理者もいた。企業活動をストップさせるという被害が出ている」とのことだ。