SecurityInsight | セキュリティインサイト

日本IBM、国内の企業環境で観測された脅威動向を分析・解説した「2016年下半期Tokyo SOC情報分析レポート」を発表

日本アイ・ビー・エムは3月17日、東京を含む全世界10拠点のIBMセキュリティー・オペレーション・センター(SOC)にて観測したセキュリティ・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向を、Tokyo SOCが独自の視点で分析・解説した「2016年下半期Tokyo SOC情報分析レポート」を発表した。その概要は以下のとおり。

2016年下半期(7月-12月)にTokyo SOCで観測した攻撃を分析した結果、以下の実態が浮かび上がった。

●不正な添付ファイルを使用した攻撃がさらに増加し、前期比約2.5倍に
2016年3月より増加したメールによる攻撃は2016年下半期も頻繁に行なわれ、Tokyo SOCで検知した不正メールの件数は2016年上半期と比較して約2.5倍に増加した。また、不正な添付ファイルの94.9%はランサムウェア「Locky」への感染を狙ったものだった。件名や添付ファイル名に日本語を使用した不正なメールに限定すると、添付ファイルの97.8%は「Ursnif」などの金融マルウェアであることも判明した。

●IoTデバイスのデフォルトアカウントを使用した不正なログインの試みを継続して確認
2016年下半期はマルウェア「Mirai」に乗っ取られたと考えられる機器からの不正なログインの試みを継続して検知した。ログインに成功した場合、さらに別のIoT機器に対して不正なログインを試みて感染を広げるとともに、攻撃者からの指令によってDDoS攻撃が行なわれるものと考えられる。このようなマルウェア「Mirai」に代表される、インターネットに接続されたIoTデバイス乗っ取りによるDDoS攻撃が脅威となっており、IoTデバイスに対するメーカー、ユーザー双方のセキュリティ対策が急務となっている。

●攻撃指令サーバーの多くは長期間放置されているサーバー
2016年上半期、下半期を通して確認された攻撃指令サーバー(C&Cサーバー)との通信についてC&Cサーバーで使用されたドメイン名を調査したところ、通信が確認された日より1年以上前にそのドメイン名が取得されているケースが全体の約80.1%を占めた。このことから、立ち上げたまま長らく放置されているようなサーバーが攻撃者に悪用されていることが推測される。
 

関連リンク

プレスリリース