2016年上半期はマルウェアメールが16.4倍に増加、IBM Tokyo SOCレポート

　日本アイ・ビー・エム株式会社（日本IBM）は8日、東京を含む世界10拠点の「IBMセキュリティー・オペレーション・センター（SOC）」における観測情報に基づいて、主に国内企業で観測された脅威動向を分析した「2016年上半期Tokyo SOC情報分析レポート」を発表した。

　2016年上半期には、不正なファイルが添付されたメールの件数が2015年下半期から16.4倍に増加。添付ファイルはZIP形式が91.3％で、なかでもJavaScript形式（.js/.jse）のファイルが95.0％を占めた。マルウェアもランサムウェアと金融機関からのメールをかたる“金融マルウェア”が多くを占めるという。一方で、ウェブページからマルウェアが勝手にダウンロードされる「ドライブバイダウンロード攻撃」は6分の1に減少している。IBMでは、企業側の脆弱性対策が進んだことなどが影響し、攻撃者側が脆弱性を悪用しないメールによる攻撃手法へ移行しているとの見方を示している。

　こうしたメールの文面は、以前のように不自然な日本語ではなく、正規のメールや公開情報を流用した自然な日本語が使われており、文面のみで不正なメールかどうかが困難になっているという。また、件名や添付ファイル名に日本語が利用された不正メールによって感染するのは、金融マルウェアが87.1％と大半を占めた。

　また、不正メールによる攻撃では、1回の攻撃で送信されたメールの添付ファイルのハッシュ値が異なっている傾向が見られ、特に3月以降は「Locky」などの出現に伴い、こうした傾向が強まったとのこと。これは、パターンマッチング手法による検知を回避するものとの見方が示されている。

　こうしたクライアントPCに対する攻撃と比べ、サーバーに対する攻撃は全体の66.4％と多いが、危険度はクライアントPCへの攻撃の方が高いという。サーバーへの攻撃は、ウェブアプリケーション全般に対するものが61.2％を占め、主な内容はコマンドインジェクションおよびSQLインジェクションとなっている。次いでユーザーIDとパスワードを特定する総当たり攻撃が19.8％、OpenSSLの脆弱性（Heartbleed）やJoomlaの脆弱性など、特定の製品の脆弱性を狙う攻撃が14.3％となっている。

　攻撃者は検知を逃れるため、攻撃の送信元IPアドレスを頻繁に変更していると考えられているが、公開サーバーに対する攻撃の送信元IPアドレスの活動期間を分析したところ、1日未満の活動期間のものが66.8％と多くを占める一方、30日以上継続的に活動しているものも18.4％確認されたという。IBMでは、踏み台となるホストの数は有限であるため、攻撃者が利用できる攻撃ホストは可能な限り使い続ける戦略であると推測しており、IPアドレスのブラックリスト方式による検知には一定の効果があるとしている。