2015年下半期 Tokyo SOC 情報分析レポート 公開

記事をシェアする:

本日「2015年下半期 Tokyo SOC 情報分析レポート」を公開しました。

本レポートは、IBMが全世界10拠点のセキュリティー・オペレーション・センター（SOC）にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向を、Tokyo SOCが独自の視点で分析・解説したものです。

2015年下半期にTokyo SOCで観測された攻撃を分析した結果、以下の実態が浮かび上がりました。

約74％の組織でドライブ・バイ・ダウンロード攻撃を確認

2015年上半期に増加したドライブ・バイ・ダウンロード攻撃(「見ただけ感染」)はさらに増加傾向を示し、攻撃の検知数は約1.4倍となりました。攻撃の発生が確認された組織は前期の40.5%から74.3%に増加しました。引き続き、攻撃の90%以上がAdobe Flash Player の脆弱性を悪用するものでした。

ドライブ・バイ・ダウンロード攻撃の月別検知数推移（日本国内）
（Tokyo SOC調べ：2012年7月1日～2015年12月31日）

ドライブ・バイ・ダウンロード攻撃発生状況（日本国内）
（Tokyo SOC調べ：2015年7月1日～2015年12月31日）

不特定多数を狙ったメール攻撃は「短期」「集中」「使い捨て」

不特定多数を狙ったメール攻撃は、2015年10月以降、特に猛威を振るっています。自然な日本語で記述し実在の組織を騙るメールも発生していますが、Tokyo SOC で観測された不特定多数を狙ったメール攻撃は最初のメールから2時間以内にほとんどのメールが送られていました。使い捨てのメールを使用することで、セキュリティー製品の検知を逃れようとする動きが明確になったと考えられます。

最初の攻撃メール観測時刻を基点とした経過時刻とメール観測数の推移
（Tokyo SOC調べ：2015年7月1日～2015年12月31日）

ランサムウェアを用いた攻撃活動の増加

国内でも、感染したコンピューター内のファイルを暗号化し復号のための金銭を要求するランサムウェアによる被害が話題となりましたが、Tokyo SOCでも多数の検知が確認されています。特に2015年11月以降、継続的に攻撃活動を観測していますが、これは感染に利用されるドライブ・バイ・ダウンロード攻撃や不正メールの増加と関連しているものと考えられます。ランサムウェアは感染後すぐに深刻な被害が発生するため、感染を前提とした対策がより一層求められる結果となりました。

ランサムウェアCryptoWall 3.0およびCryptoWall 4.0の検知件数（日本国内）
（Tokyo SOC調べ：2015年10月1日～2015年12月31日）

また、本レポートでは日本以外での脅威動向やクラウド環境におけるセキュリティー対策の考慮点などもご紹介いたします。
これらの情報を、セキュリティー・ポリシーの策定や、情報セキュリティー対策を検討する際の参考として、また、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。

2015年下半期 Tokyo SOC 情報分析レポート（2MB）

【著者情報】

猪股 秀樹

2000年インターネットセキュリティシステムズ株式会社入社。セキュリティー診断やIDS/IPSの導入プロジェクト、セキュリティー・コンサルティングなどさまざまなプロジェクトを手がける。2007年買収に伴い日本IBMに移籍。2012年よりセキュリティー・オペレーション・センターのチーフ・セキュリティー・アナリスト。