2017年上半期 Tokyo SOC 情報分析レポート 公開

記事をシェアする:

「2017年上半期 Tokyo SOC 情報分析レポート」を公開しました。

本レポートは、IBMが全世界8拠点のセキュリティー・オペレーション・センター（SOC）にて観測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向を、Tokyo SOCが独自の視点で分析・解説したものです。

2017年上半期にTokyo SOCで観測した攻撃を分析した結果、以下の実態が浮かび上がりました。

WannaCry等自己増殖する機能を持つランサムウェアが登場するも、国内の被害は限定的

今期はSMBの脆弱性を悪用して自己増殖するWannaCry等のランサムウェアが登場しました。Tokyo SOCでの検知状況から、国内では感染を試みる攻撃の影響は限定的であったと考えられます。アクセス制御により攻撃に利用される通信が成立しなかったことが一因であると推測されますが、アクセス制御だけではなく、パッチ管理等も含めた基本的対策の重要性が再確認されました。

EternalBlueを利用した攻撃通信の検知数推移
(Tokyo SOC調べ　2017年4月20日～2017年6月30日)

EternalBlueを利用した攻撃通信の送信元国別割合
(Tokyo SOC調べ　2017年4月20日～2017年6月30日)

不正メールは継続して確認され、添付ファイルは多様化

前期と比較すると不正メールの添付ファイルが多様化しており、Microsoft Officeドキュメントを内包したPDFファイルやマクロ実行以外の手法も確認されました。また、Microsoft Officeの脆弱性を悪用するケースも確認されています。このような状況からメールを悪用する攻撃には一層の警戒が必要です。

悪意あるファイルが添付された不正メールの検知数推移
(Tokyo SOC調べ　2016年1月1日～2017年6月30日)

検知された添付ファイルの形式別検知数割合
(Tokyo SOC調べ　2017年1月1日～2017年6月30日)

Apache Strutsに複数の脆弱性が公開され、最大一日40万件超の攻撃を検知

3月にはApache Strutsに関する新たな脆弱性が公表され、被害事例が報告されています。自組織のアセット管理を強化し、正確な情報収集に努める必要があります。また、脆弱性が公開された際に、システム停止や機能縮退も含めた判断をどの時点で行うか、経営層が事前に決定しておくことが必要であると考えます。

Apache Struts2の脆弱性(CVE-2017-5638/S2-045・S2-046)を狙う通信の検知数推移
(Tokyo SOC調べ　2017年3月11日～2017年6月30日)

Apache Struts2の脆弱性(CVE-2017-5638/S2-045・S2-046)を狙う通信の送信元国別比率
(Tokyo SOC調べ　2017年4月20日～2017年6月30日)

また、本レポートのコラムでは、ダウンロードされる実行ファイルに含まれるマルウェアの観測状況や、WannaCryの脅迫メッセージから犯人像を推定した結果などをご紹介いたします。日々セキュリティー対策を行っているITエンジニアの方々には、情報セキュリティーに関する知識向上の一助として、また、経営上の課題解決のためにポリシー策定や情報セキュリティー対策に携わっている方々には、その活動の一助として、本レポートをご活用いただければ幸いです。

【著者情報】

窪田 豪史

2007年日本アイ・ビー・エム株式会社入社。Tokyo Security Operation Center(SOC)アナリストとして監視・分析業務や脅威情報発信を行う。2018年よりX-Force Incident Response and Intelligence Service 日本チームメンバーとしてセキュリティー・インシデント対応支援に従事。CISSP、GREM。