ドライブバイダウンロード攻撃で悪用される脆弱性の97％がFlashによるもの

　日本アイ・ビー・エム株式会社は、同社の東京セキュリティオペレーションセンター（Tokyo SOC）が分析したセキュリティに関するレポート「2015年下半期 Tokyo SOC 情報分析レポート」を公開。2月29日にレポートに関する説明会を開催した。

　SOCは日本を含む全世界に10カ所設置されているセキュリティ監視部門で、ネットワークセキュリティ監視サービス「IBM Managed Network Security Services」の拠点として、133カ国の4000社にサービスを提供している。SOCでは、700TBのログやインシデントを解析しており、同レポートは観測したセキュリティイベント情報をベースに、日本国内の企業に影響を与える可能性のある脅威の動向を独自にまとめている。

　2015年下半期で特徴的だったのが、ドライブバイダウンロード（DBD）攻撃の増加だ。DBD攻撃は、改ざんされたサイトや不正広告を閲覧しただけで攻撃サーバーに誘導され、PCの脆弱性を突かれてマルウェアをダウンロードする。レポートによると、不正サイト経由でのDBD攻撃は、2015年上半期と比較して約1.4倍に増加。上半期では全体の40.5％だった攻撃が発生した組織の割合も、下半期では74.3％に拡大した。

　ただし、実際にマルウェアがダウンロードされてしまった組織は全体の20％前後と変化はなく、攻撃サーバーに誘導された割合が19.1％から54.1％に急増したことが組織数増加の要因になっている。感染したマルウェアは、ネットバンクを狙ったものやランサムウェアが多くを占め、悪用される脆弱性の97.0％がAdobe Flash Playerによるもの。脆弱性の中にはゼロデイ攻撃も含まれていたという。

　DBD攻撃で多く用いられるのが、複数の脆弱性をまとめて攻撃するエクスプロイトキットと呼ばれるツールだ。SOCが検知した攻撃のうち、実に86.8％がエクスプロイトキットを使用している。また、サイトの改ざんも、CMSツールである「WordPress」や「Joomla!」の脆弱性を悪用する場合が多く、WordPressの脆弱性を悪用してマルウェアに指令を出すC&Cサーバーとして使用する例もあるという。

　不正なマクロなどを含む、不特定多数を狙ったメール攻撃にも「短期」「集中」「使い捨て」の傾向が見られた。メール攻撃は短期集中型が多く見られ、同一の不正なマクロを含むファイルを添付したメールによる攻撃では、その91.8％が2時間以内に観測されたものという。その後は同じ添付ファイルを再利用することはなく、パターンマッチング方式での不正マクロ検出は不利となる。

　送信活動のピークは平日に集中しており、土日はほとんど観測されない。時間帯は、海外での送信をターゲットにしていると思われる日本時間の18〜21時で活発になっているほか、6〜8時にも小さなピークがあり、日本の始業時間前後を狙っていると考えられる。

　ランサムウェアも2015年下半期のトピックとして挙げている。2015年9月より検知数が極端に増加しており、11月と12月はTokyo SOCにおける高危険度のセキュリティインシデント件数の半数以上をランサムウェアが占めた。感染経路としては、不特定多数を狙ったメール攻撃のほか、改ざんサイトや不正広告を経由したDBD攻撃が多く見られる。

Flashは使用制限を、ランサムウェア対策としてバックアップも

　Tokyo SOCでセンター長を務める鳥谷部彰則氏は、マルウェアの感染経路・手法としてはウェブやメールが顕著であり、基本的な対策の徹底が効果的だとしている。

　例えば、脆弱性攻撃の多くを占めるAdobe Flash Playerでは、最新のアップデートを施す以外にも、「クリックして実行する」などで常時稼働しない運用方法も検討する必要があるとした。また、ランサムウェアの被害対策としては、定期的なバックアップを呼び掛けた。