ニュース

ウェブ改ざんによるダウンロード攻撃は昨年の2倍、成功率も高い水準

 日本アイ・ビー・エム株式会社(日本IBM)は5日、東京セキュリティーオペレーションセンター(Tokyo SOC)で2013年下半期(7月~12月)に観測された脅威動向などをまとめた「2013年下半期Tokyo SOC情報分析レポート」を発表した。

 2013年下半期には、改ざんされたウェブサイトの閲覧でマルウェアに感染させる「ドライブバイダウンロード攻撃」が1922件確認された。2013年上半期の3972件からは減少したものの、2012年下半期の956件と比べると約2倍で、攻撃の成功率も12.2%(234件)と高い水準にある。

ドライブバイダウンロード攻撃の月別検知数推移(Tokyo SOC調べ:2012年7月1日~2013年12月31日)

 また、2013年下半期には日本国内の特定組織を標的としたドライブバイダウンロード攻撃(水飲み場型攻撃)が複数報告されていると指摘。Tokyo SOCで確認した事例でも、2014年1月上旬には「GOM Player」のアップデートでマルウェアに感染させられる事例があったが、Tokyo SOCでGOM Playerのアップデート通信が確認された23組織のうち、1組織のみでマルウェアのダウンロードを確認しており、特定の組織が標的とされている実態が浮かび上がったとしている。

 サーバーに対する攻撃としては、ウェブアプリケーションフレームワークやCMSの脆弱性を狙ったウェブサイトの改ざんが増加。特に、Apache Struts2の脆弱性を狙った攻撃は、2013年上半期の3万425件から、2013年下半には6万8527件と2.3倍に増加している。

 Tokyo SOCでは、こうした攻撃の状況の分析から、攻撃者は攻撃の効率をより強く意識しており、攻撃司令サーバーとの通信にTorネットワークを利用するマルウェアが出現するなど、攻撃の「見えない化」が進んでいると指摘。こうした攻撃を発見するには、セキュリティ機器のアラート情報を分析するだけでなく、脅威の仕組み(シナリオ)を理解した上で、システム横断的にログを収集してセキュリティ機器のアラート情報との相関分析を行うことが重要だとしている。

(三柳 英樹)