東日本大震災に便乗、標的型メール攻撃が増加、IBM東京SOCレポート


東日本大震災に便乗した標的型メール攻撃の例

 日本IBMは3日、2011年上半期のセキュリティ動向をまとめた「2011年上半期 東京SOC情報分析レポート」を発表した。レポートでは2011年上半期の最も注目すべき脅威として、東日本大震災に便乗した標的型メール攻撃を挙げ、標的型メールの種類が2010年下半期に比べて約2.5倍に増加したとしている。

 レポートは、世界9カ所にあるIBMセキュリティ・オペレーション・センター(SOC)で観測されたセキュリティ関連情報に基づき、主に日本国内の企業環境に影響を与える脅威の動向をまとめたもの。

 2011年上半期の特徴として挙げた標的型メール攻撃は、特に東日本大震災の発生後に、震災や原発事故に関連する情報を装った不正なメールが、複数の企業・組織を対象に送信されていることを観測。こうしたメールには、震災に便乗した詐欺についての注意喚起を装ったり、放射線に関する情報を装うなどした文書ファイルが添付されており、このファイルを開くとOfficeやAdobe Readerの脆弱性が悪用され、マルウェアに感染させられる危険がある。

 このほか、震災に便乗したメール以外にも、「日程表.xls」「会員.xls」といった業務に関連があるように見せかけた添付ファイルや、「中国軍衝突、第1列島線で攻勢.doc」などの時事問題に関連したファイル名、企業の取引状況や組織内部の人間でしか知りえないような情報に関連したファイル名を用いている事例も確認されたという。

 東京SOCで確認された標的型メールのうち、68%はフリーメールアドレスが送信元となっていた。また、こうしたメールでは、従来は日本語環境ではあまり利用されない文字コード(中国のGB2312など)がよく使用されていたが、今期確認されたメールではUTF-8が46%、ISO-2022-JPが31%となっており、国内のウェブメールサービスからメールを送信するか、日本語環境のシステムを踏み台にして攻撃を行っていた可能性を示していると分析している。

 ウェブサイトを改ざんし、アクセスしたユーザーを自動的に不正なサイトに誘導し、PCにウイルスを感染させようとする「ドライブ・バイ・ダウンロード攻撃」は、2010年から検知数は横ばいで減少する傾向は見られないと指摘。新たな攻撃手法としては、不正なSEOテクニックにより画像検索の結果を操作し、検索結果の画像をクリックすると不正なサイトに誘導されるという形の攻撃が観測されたという。

 また、2011年上半期には、Amazon EC2を送信元とする攻撃を中心として、クラウドサービスを悪用した攻撃も約2300件観測されており、クラウドサービスにも実環境と同等のセキュリティ対策が必要だとして、サービス選定にあたってはセキュリティ対策を検討材料とすることをユーザーに対して推奨している。


関連情報

(三柳 英樹)

2011/8/3 14:32