2014年下半期 Tokyo SOC 情報分析レポート（PDFファイル、約

IBM Security Services
Ahead of the Threat. ®
2014 年下半期
Tokyo SOC
情報分析レポート
目
次
エグゼクティブ・サマリー ...................................................................... 3
1
2014 年下半期の脅威動向概況 ............................................................ 4
1.1 2014 年下半期のセキュリティー・アラートの推移.................................................. 4
2
公開サーバーに対する攻撃の動向 ......................................................... 8
2.1 GNU Bash に対する攻撃 ................................................................................... 8
2.2 OpenSSL に対する攻撃
(続報) ....................................................................... 17
2.3 SQL インジェクション .................................................................................... 20
2.4 柳条湖事件が発生した 9 月 18 日前後の攻撃動向 .................................................. 22
2.5 まとめ ........................................................................................................ 24
[Column1] 世界のセキュリティー・オペレーション・センターから ............................... 25
3
クライアント PC を狙った攻撃 ........................................................... 27
3.1 ドライブ・バイ・ダウンロード攻撃 ................................................................... 27
3.2 メールを悪用する攻撃 .................................................................................... 31
3.3 まとめ ........................................................................................................ 37
[Column2] 公開された脆弱性情報に対する判断について ............................................. 38
[Column3] ドメイン名ブラックリストの有効性 ......................................................... 39
おわりに ............................................................................................ 42
2
2014 年下半期 Tokyo SOC 情報分析レポート
エグゼクティブ・サマリー
本レポートは、IBM が全世界 10 拠点のセキュリティー・オペレーション・センター（SOC）にて観
測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向
を、Tokyo SOC が独自の視点で分析・解説したものです。
IBM では、世界 10 拠点の SOC で 10 年以上蓄積されてきたセキュリティー・インテリジェンスを
相関分析エンジン(X-Force Protection System)へ実装し、1 日あたり 200 億件以上の膨大なデータをリ
アルタイムで相関分析しています。
2014 年下半期に Tokyo SOC で観測された攻撃を分析した結果、以下の実態が浮かび上がりました。
ShellShock 攻撃は DDoS やスパム送信を行うボットプログラムを埋め込むことが主な目的
2014 年上半期の Heartbleed に続き、広く利用されているオープンソースソフトウェアである
GNU Bash の脆弱性を狙う攻撃が発生しました。当初 Heartbleed と同様に大量の調査行為が行われ
ていましたが、その後の攻撃動向の調査により、サーバーに対して DDoS やスパム送信を行うボッ
トプログラムを埋め込もうとする試みが確認されました。Tokyo SOC の観測では、ボットプログラ
ムを埋め込もうとする攻撃が全体の 98.6%を占めていました。
「ドライブ・バイ・ダウンロード攻撃」の影響を受けている組織は減少し 11.3%で確認
2014 年上半期には 21.9%の組織でドライブ・バイ・ダウンロード攻撃の影響を確認していました
が、2014 年下半期は 11.3%に減少していました。現時点で減少の理由は明確になっていませんが、
脆弱性を悪用しない攻撃手法への移行、改ざんされた Web サイトの減少、企業側の対策が進んだこ
となど複数の要因が影響していると考えられます。
一方で、メール経由では脆弱性を悪用しない攻撃を多く確認しています。それらには、Microsoft
Office のマクロを悪用したマルウェアや実行形式のファイルをそのまま送付する手法が使われてい
ます。
また、本レポートでは日本以外での脅威動向や Heartbleed のその後、ドメイン名ブラックリスト
の有効性に関する調査結果をご紹介いたします。
これらの情報を、セキュリティー・ポリシーの策定や、情報セキュリティー対策を検討する際の参考
として、また、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。
3
2014 年下半期 Tokyo SOC 情報分析レポート
2014 年下半期の脅威動向概況
1 2014 年下半期の脅威動向概況
2014 年下半期は、Unix 系オペレーティング・システムで広く使用されている GNU Bash の脆弱性
を狙った ShellShock 攻撃や暗号化通信に使用される SSL や TLS の脆弱性など、多くのシステムで広
く使用されているアプリケーションの脆弱性が話題となりました。また、不正な Web サイトやメール
を悪用してクライアント PC にマルウェアを感染させる攻撃も継続して発生しています。
本章では、世界 10 拠点の IBM SOC で発生したセキュリティー・アラートおよびグローバル・レポ
ートより、2014 年下半期に発生した攻撃について世界と日本の動向の比較を交えて解説します。
1.1 2014 年下半期のセキュリ
ティー・アラートの推移
件以上のセキュリティー・イベントを相関分析エン
ジンで分析した結果です。2014 年下半期のうち、9
月後半から 11 月前半にかけては、GNU Bash の脆弱
性を狙った攻撃(以降、ShellShock 攻撃)が世界規模
図 1 は、IBM SOC が対応したセキュリティー・
で発生したため、セキュリティー・アラート数は増
アラートの件数の推移です。これらのアラートは、
加しました。
セキュリティー機器から収集した 1 日あたり 200 億
12,000
世界全体(日本含む)
日本国内
10,000
8,000
6,000
4,000
2,000
2014/12/31
2014/12/17
2014/12/03
2014/11/19
2014/11/05
2014/10/22
2014/10/08
2014/09/24
2014/09/10
2014/08/27
2014/08/13
2014/07/30
2014/07/16
2014/07/02
2014/06/18
2014/06/04
2014/05/21
2014/05/07
2014/04/23
2014/04/09
2014/03/26
2014/03/12
2014/02/26
2014/02/12
2014/01/29
2014/01/15
2014/01/01
0
図 1 IBM SOC で対応しているセキュリティー・アラートの傾向
(2014 年 1 月 1 日∼12 月 31 日)
4
2014 年下半期 Tokyo SOC 情報分析レポート
2014 年下半期の脅威動向概況
9 月後半からのセキュリティー・アラートの増加
また、特異な点としては、他の攻撃では送信元と
は ShellShock 攻撃によるものでした。IBM SOC で
してあまり見られないアイスランドからの
は脆弱性の公開直後からその動向に着目していまし
ShellShock 攻撃を多く確認 2しています。アイスラ
たが、世界規模で攻撃を確認したため、9 月 26 日に
ンドからの攻撃についてはコラム 1 で紹介します。
9 年ぶりにインターネット全体の警戒値レベルを示
す AlertCon 1を 4 段階中の 3 に引き上げ注意喚起を行
いました(表 1、図 2)。この攻撃では DDoS 攻撃や
スパムメールの送信を行うボットプログラムの感染
を目的としたものを多く検知していました。
1
IBM, AlertCon 4 つの警戒値,
http://www-935.ibm.com/services/jp/ja/it-services/iss-alert
con-01.html
2
MSS Threat Research Papers, ShellShock Report,
https://portal.sec.ibm.com/mss/html/en_US/support_resourc
es/pdf/shellshock_final_report_10-21-2014.html
表 1 AlertCon の 4 つの警戒値
警戒値レベル
アイコン
脅威状況
2014/12/01
2014/11/01
2014/10/01
2014/09/01
2014/08/01
緊急に対応が必要な、極めて重大な影響を及ぼす脆弱点を悪用した大規模な攻撃を
検出（システムデータの破壊、漏えい、使用不能、管理者権限の取得、Web 改ざん
が大規模に行われる可能性あり）
2014/07/01
AlertCon 4
2014/06/01
早急に対応が必要な、特定の脆弱性を悪用した攻撃の増加を検出（大規模な感染を
もたらすマルウェアおよび DoS 攻撃など）
2014/05/01
AlertCon 3
2014/04/01
警戒を必要とする攻撃の増加を検出
2014/03/01
AlertCon 2
2014/02/01
対処方法が公開されている既知の攻撃を検出
2014/01/01
AlertCon 1
図 2 AlertCon の推移
(2014 年 1 月 1 日∼12 月 31 日)
5
2014 年下半期 Tokyo SOC 情報分析レポート
2014 年下半期の脅威動向概況
また、ShellShock 攻撃以外にも、2014 年上半期の
ライアント PC を狙った攻撃があります。IBM SOC
Tokyo SOC 情報分析レポートでお伝えした
では 2014 年上半期と同様にドライブ・バイ・ダウ
Heartbleed 攻撃は継続して行われており、毎日数十
ンロード攻撃によるマルウェア感染や、マルウェア
件から数千件程度を確認しています。さらに、2014
感染後に行われる Command & Control 通信(C&C 通
年下半期には SSL および TLS で使用されている暗
信)を日々検出しており、マルウェアが企業環境内に
号アルゴリズムに存在する脆弱性もいわゆる
侵入してしまっている状況は継続していると考えら
POODLE として話題となりました。
れます。実際、Tokyo SOC では 11.3% の組織にお
一方で、クロスサイト・スクリプティングのよう
いてドライブ・バイ・ダウンロード攻撃の影響を確
な従来からある攻撃活動は増加傾向にはないものの
認しており、世界全体でも Waski マルウェアの亜種
継続して発生しています(図 3)。ShellShock 攻撃の
による C&C 通信を確認 4しております(図 4)。
3
ように公開直後の脆弱性を狙う傾向が強まっていま
すが、Web アプリケーションに脆弱性が存在する場
クライアント PC を狙った攻撃については 3 章で
解説します。
合にはその危険性に変わりはありません。
これらの世界規模で話題となった公開サーバーに
対する攻撃の動向については 2 章で解説します。
大きな話題となったこれらの攻撃以外にも企業環
境における主要な脅威となっている攻撃として、ク
3
MSS Threat Research Papers, CROSS-SITE SCRIPTING
(XSS) ,
https://portal.sec.ibm.com/mss/html/en_US/support_resourc
es/pdf/cross-site_scripting_12-15-2014.html
4
MSS Threat Research Papers, WASKI VARIANT,
https://portal.sec.ibm.com/mss/html/en_US/support_resourc
es/pdf/waski_variant_10-10-2014.html
6
2014 年下半期 Tokyo SOC 情報分析レポート
2014 年下半期の脅威動向概況
図 3 IBM SOC で確認されたクロスサイト・スクリプティング攻撃の傾向
(2011 年 1 月 1 日∼2014 年 12 月 31 日、引用: IBM MSS CROSS-SITE SCRIPTING (XSS))
30
25
20
15
10
5
2014/12/21 ∼
2014/12/31
2014/12/11 ∼
2014/12/20
2014/12/01 ∼
2014/12/10
2014/11/21 ∼
2014/11/31
2014/11/11 ∼
2014/11/20
2014/11/01 ∼
2014/11/10
2014/10/21 ∼
2014/10/31
2014/10/11 ∼
2014/10/20
2014/10/01 ∼
2014/10/10
0
図 4 IBM SOC で確認された Waski マルウェアの亜種による C&C 通信
(2014 年 10 月 1 日∼12 月 31 日)
7
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
2 公開サーバーに対する攻撃の動向
2014 年下半期は ShellShock 攻撃をはじめ、公開サーバーに対する大規模な攻撃が発生しました。
また、2014 年上半期 Tokyo SOC 情報分析レポートでお伝えした Heartbleed 攻撃以外にも、コンテン
ツ管理システムに発見された SQL インジェクションの脆弱性を狙う攻撃が行われるなど、2014 年下
半期も継続して様々な攻撃が登場しています。
また、例年、柳条湖事件が発生した 9 月 18 日に日本の公開サーバーを狙った攻撃が行われています
が、2014 年 9 月 18 日の前後に発生した攻撃数は 2013 年に比べて減少しているものの、類似の攻撃
は 2014 年下半期を通して継続的に確認されています。
本章では、2014 年下半期に Tokyo SOC で確認したこのような公開サーバーの脆弱性に対する攻撃
の動向について解説します。
2.1 GNU Bash に対する攻撃
けでなく、クライアントで利用するソフトウェアも影
響を受ける可能性があります。本項では主に公開サー
2014 年 9 月に Linux の多くのディストリビューショ
ンで使用されている GNU Bash の脆弱性
(CVE-2014-6271、他)が公開されました。
この脆弱性が存在するバージョンの GNU Bash を使
用している場合、攻撃者が外部からの任意の文字列を
送信し、シェルコマンドとして実行することが可能で
す。
GNU Bash は主に Linux システム上で動作するさま
ざまなソフトウェアで利用されているため、この脆弱
性の影響範囲は非常に広く、サーバーソフトウェアだ
バーに対する攻撃の状況について解説します。
n GNU Bash の脆弱性（CVE-2014-6271、他）を
悪用した攻撃の検知状況
図 5 は 2014 年 9 月 25 日から 2014 年 12 月 31 日
までの GNU Bash の脆弱性を悪用した攻撃(以降、
ShellShock 攻撃)の検知数の推移です。この脆弱性は
日本時間の 9 月 25 日に攻撃手法とともに公開され、
Tokyo SOC では公開当日の 9 月 25 日より攻撃を確認
しています。
8
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
公開直後から 10 月中旬までは、多くの検知は HTTP
10 月中旬から 11 月中旬にかけて、IRC による C&C
サーバーを対象とした脆弱性の有無を調査する行為で
通信を行う DDoS ボットプログラムを動作させること
した。しかし、件数は多くないものの、初期の段階か
を目的とする攻撃が大量に発生しています(図 5 オレ
ら DoS 攻撃等を行ったりバックドアを設置したりす
ンジ色の線)。
る不正なプログラムをサーバー上で実行することを目
その後は脆弱性調査、攻撃行為とも減少し 12 月は 1
的とした攻撃や、サーバー上のパスワードファイルを
日あたり 1 万件程度の検知数となっていますが、12
不正に取得することを目的とする攻撃も確認していま
月初旬より、特定の NAS 製品を狙ったワームの活動
す。また、HTTP プロトコルに比べて少ないものの SIP
と思われる通信が確認されています。
や FTP 等、HTTP 以外のプロトコルでの攻撃も観測し
ています。
700,000
脆弱性調査
マルウェア感染や情報奪取
600,000
500,000
400,000
300,000
200,000
100,000
2014/12/29
2014/12/24
2014/12/19
2014/12/14
2014/12/09
2014/12/04
2014/11/29
2014/11/24
2014/11/19
2014/11/14
2014/11/09
2014/11/04
2014/10/30
2014/10/25
2014/10/20
2014/10/15
2014/10/10
2014/10/05
2014/09/30
2014/09/25
0
図 5 GNU Bash の脆弱性(CVE-2014-6271、他)を悪用する攻撃の検知数推移(日本国内)
（Tokyo SOC 調べ：2014 年 9 月 25 日∼2014 年 12 月 31 日）
9
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n ShellShock 攻撃の目的
実行後にダウンロードしたプログラムを削除するコ
GNU Bash の脆弱性公開当初は脆弱性の有無を確
認する調査行為が多くを占めていましたが、その後
マンドが存在する場合もあります。
ダウンロードされる不正なプログラムの多くは
明確な目的を持った攻撃の検知数も増加しています。
DDoS 攻撃を目的とするボットプログラムでした。
これらの攻撃を目的で分類すると以下になります。
一方、攻撃対象のサーバーから情報を窃取すること
Ø 攻撃対象のサーバー上で不正なプログラム
を目的とした攻撃は、”/etc/passwd”や”/etc/group”と
を動作させることを目的とした攻撃
Ø 攻撃対象のサーバーから情報を窃取するこ
とを目的とした攻撃
いったファイル取得を試みていました。
図 6 は Tokyo SOC で確認された ShellShock 攻撃
の目的の割合です(調査行為は除く)。後述する IRC
攻撃対象のサーバー上で不正なプログラムを動作
ボットへの感染を目的とした攻撃が 2014 年 10 月中
させることを目的とした攻撃は、外部のサイトより
旬から 11 月中旬に集中したことの影響により不正
実行可能プログラムをダウンロードし、そのプログ
なプログラムの実行を目的とした攻撃が 98.6%と大
ラムを実行するコマンドを送信しています。また、
半を占めています。
1.4%
不正なプログラム実行
情報取得
98.6%
図 6 ShellShock 攻撃の目的の割合 (日本国内)
（Tokyo SOC 調べ：2014 年 10 月 23 日∼2014 年 11 月 5 日）
10
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n IRC ボットへの感染を目的とした攻撃
前述のとおり、2014 年 10 月中旬から 11 月中旬の
期間に DDoS 攻撃を行うことを主目的とした IRC ボ
ットへの感染を狙う攻撃が大量に発生しました。
特に 10 月 31 日には約 60 万件と大量に検知され
ていました。
この期間の攻撃は比較的少数の送信元より集中的
に発生しており、送信元の多くは海外のクラウドや
ホスティング会社の所有するものでした(表 2)。
攻撃に使用された文字列の大半は 3 パターンで、
外部のサイトよりプログラムをダウンロードして、
実行するものとなっています(図 7)。
表 2 IRC ボットへの感染を目的とした ShellShock 攻撃の送信元 IP アドレストップ 10 (日本国内)
（Tokyo SOC 調べ：2014 年 10 月 23 日∼2014 年 11 月 5 日）
No.
送信元 IP アドレス
国
件数
1
87.xxx.xxx.xxx
Germany
233,973
2
5.xxx.xxx.xxx
Netherlands
154,965
3
198.xxx.xxx.xxx
USA
114,624
4
109.xxx.xxx.xxx
United Kingdom
113,528
5
62.xxx.xxx.xxx
Germany
94,214
6
80.xxx.xxx.xxx
Netherlands
83,555
7
192.xxx.xxx.xxx
Canada
80,070
8
195.xxx.xxx.xxx
Poland
73,918
9
91.xxx.xxx.xxx
Romania
60,279
10
203.xxx.xxx.xxx
Viet Nam
59,536
図 7 ShellShock 攻撃の攻撃文字列(日本国内)
（Tokyo SOC 調べ：2014 年 10 月 23 日∼2014 年 11 月 5 日）
11
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
また、
ShellShock 攻撃に成功した場合、
下記の Perl
Ø
IRC チャンネルへの参加
で書かれた IRC ボットのコードが実行されます(図
Ø
UDP や TCP による DoS 攻撃
8)。サンプル内に記載があるとおり、このコードは
Ø
ポートスキャン
次の機能を持っています。
Ø
メール送信
Ø
新たな不正プログラムのダウンロード
図 8 IRC ボットプログラムのサンプル (抜粋)
12
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n 特定の NAS 製品を狙った ShellShock 攻撃
9 ページ図 5 のとおり、脆弱性公開より約 2 ヶ月
間にわたり多数の攻撃を検知していましたが、2014
∼50％が特定の NAS 製品を狙う攻撃となっていま
す。また、この攻撃については警察庁からも検知数
増加の報告 6が行われています。
年 11 月後半頃から攻撃件数は減少しています。しか
GNU Bash の脆弱性は影響を受けるシステムが多
しながら、攻撃が完全に収束したわけではなく、11
岐にわたるため、今後しばらくは継続して攻撃が行
月後半以降も 1 日あたり 1 万件程度の攻撃を継続し
われると予想されます。現在は攻撃対象となってい
て検知しています。
ないシステムが狙われる可能性もあるため、公開さ
また、図 9 のとおり、12 月 4 日からは TCP 8080
れているシステムに GNU Bash の脆弱性が存在して
番ポートに対する攻撃の増加を確認しています。こ
いないか改めてご確認いただくことを推奨します。
の攻撃のほとんどは「/cgi-bin/authLogin.cgi」という
URL を標的としており、この特徴から、特定の NAS
製品を狙う攻撃であると判断しています。
特定の NAS 製品を狙う攻撃が発生していること
は 10 月 1 日に FireEye 社より報告 5されていました
5
The Shellshock Aftershock for NAS Administrators（FireEye）
https://www.fireeye.com/blog/threat-research/2014/10/theshellshock-aftershock-for-nas-administrators.html
6
bash の脆弱性を標的としたアクセスの観測について（第３報）
（警察庁 @police）
http://www.npa.go.jp/cyberpolice/detect/pdf/20141209-2.pdf
が、Tokyo SOC では 12 月 4 日以降より攻撃を確認
しており、12 月 4 日以降は ShellShock 攻撃の 30％
2,500
2,000
1,500
1,000
500
2014/12/01
2014/12/02
2014/12/03
2014/12/04
2014/12/05
2014/12/06
2014/12/07
2014/12/08
2014/12/09
2014/12/10
2014/12/11
2014/12/12
2014/12/13
2014/12/14
2014/12/15
2014/12/16
2014/12/17
2014/12/18
2014/12/19
2014/12/20
2014/12/21
2014/12/22
2014/12/23
2014/12/24
2014/12/25
2014/12/26
2014/12/27
2014/12/28
2014/12/29
2014/12/30
2014/12/31
0
図 9 TCP 8080 番ポートに対する ShellShock 攻撃の検知数推移 (日本国内)
（Tokyo SOC 調べ：2014 年 12 月 1 日∼2014 年 12 月 31 日）
13
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n 送信元 IP アドレスの国別割合
100 カ国にわたる多数の国々の IP アドレスが送信元と
2014 年下半期に行われた ShellShock 攻撃(脆弱性調
なっていました(図 10)。
査行為は除く)は約 7,000 の送信元 IP アドレスから行
しかし、表 3 の送信元 IP アドレス上位 5 アドレス
われていました。送信元 IP アドレスの国別の割合では、
の検知数が全体の約 35%を占めており、特定の比較的
アメリカ 36.8%、ドイツ 15.0%、オランダ 12.0%とこ
少数の送信元 IP アドレスが大量に攻撃を行っている
れらの 3 ヵ国が比較的多くを占めているものの、約
状況であることがわかります。
イタリア
1.8%
ブラジル
その他
1.8%
10.3%
フランス
2.3%
ベトナム
ポーランド 2.5%
3.1%
アメリカ
36.8%
カナダ
4.3%
イギリス
9.9%
オランダ
12.0%
ドイツ
15.0%
図 10 ShellShock 攻撃(脆弱性調査行為は除く)の送信元 IP アドレス国別割合(日本国内)
（Tokyo SOC 調べ：2014 年 9 月 25 日∼2014 年 12 月 31 日, 検知総数 2,383,471 件）
表 3 ShellShock 攻撃(脆弱性調査行為は除く)の送信元 IP アドレストップ 5 (日本国内)
（Tokyo SOC 調べ：2014 年 9 月 25 日∼2014 年 12 月 31 日, 検知総数 2,383,471 件）
No.
送信元 IP アドレス
国
件数
1
87.xxx.xxx.xxx
Germany
233,973
2
66.xxx.xxx.xxx
USA - California
223,115
3
5.xxx.xxx.xxx
Netherlands
154,965
4
198.xxx.xxx.xxx
USA
114,624
5
109.xxx.xxx.xxx
United Kingdom
113,528
14
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n ShellShock 攻撃対象の URL
プ 10 の攻撃対象 URL は複数の ShellShock 攻撃ツー
2014 年下半期に行われた ShellShock 攻撃(脆弱性調
ルに組み込まれた URL であり、攻撃者はこのような攻
査行為は除く)の対象 URL トップ 10 は、表 4 のとお
撃ツールを利用して広範囲に攻撃を行っているものと
りです。
考えられます。
もっとも検知数の多い URL は Movable Type の管理
画面のデフォルトの URL となっています。また、トッ
表 4 ShellShock 攻撃の攻撃先 URL トップ 10 (日本国内)
（Tokyo SOC 調べ：2014 年 9 月 25 日∼2014 年 12 月 31 日, 検知総数 2,383,471 件）
No.
URL
件数
1
/_mt/mt.cgi
318,366
2
/admin.cgi
44,579
3
/cgi-bin/authLogin.cgi
41,436
4
/administrator.cgi
34,777
5
/
30,275
6
/cgi-sys/defaultwebpage.cgi
27,552
7
/cgi-bin/loadpage.cgi
20,285
8
/cgi-sys/entropysearch.cgi
17,990
9
/cgi-sys/realhelpdesk.cgi
13,880
10
/tmUnblock.cgi
12,826
15
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n ShellShock 攻撃の攻撃先 (業種別)
次いで、
「建設・不動産・エネルギー」が 15.3%、
図 11 は Tokyo SOC における ShellShock 攻撃先
の業種別検知数の割合です。
「金融」が 13.8％となっています。その他、件数は
比較的少ないものの、多くの業種にわたって攻撃が
攻撃は 15 の業種にわたって行われていました。
行われています。
「教育」が 26.2%と最も多くなっていますが、多く
ShellShock 攻撃に関しては、特定の業種や組織に
の教育機関では意図しないものも含め、インターネ
集中的に攻撃が行われているような傾向は特に確認
ットに公開されたシステムが多数存在するためと考
されておらず、攻撃者は自動的に攻撃を行うツール
えられます。
等を用いて、公開されているシステムに対して広範
囲に攻撃を行っているものと考えられます。
教育
3.4%
3.5%
2.7%
建設、不動産、エネルギー
5.4%
金融
26.2%
5.8%
マスコミ、サービス
レジャー、エンタメ
流通
10.6%
運輸
15.3%
13.3%
13.8%
公共
電機、精密機器
その他
図 11 ShellShock 攻撃の攻撃先業種別の割合 (日本国内)
（Tokyo SOC 調べ：2014 年 9 月 25 日∼2014 年 12 月 31 日）
16
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
2.2 OpenSSL に対する攻撃
(続報)
お知らせしていますが、その後の検知状況と特徴に
ついて解説します。
n Heartbleed 攻撃の検知状況
2014 年上半期 Tokyo SOC 情報分析レポート 7に
図 12 は、
2014 年 4 月から 2015 年 1 月までの Tokyo
て、2014 年 4 月に公開された OpenSSL の脆弱性
SOC での検知状況です。改めて脆弱性公開直後は集
(CVE-2014-0160)を悪用する攻撃(以降、Heartbleed
中して大量に攻撃が行われていたことがわかります。
攻撃)の 2014 年 7 月末までの攻撃の検知状況をお知
その後は日によって多少の増減はあるものの、特に
らせしました。
攻撃の急増は確認されてはいません。しかしながら、
Tokyo SOC ではこの Heartbleed 攻撃の状況を継続
まったく攻撃が無くなったわけではなく、毎日数十
的に注視してきました。脆弱性公開後の約 1 週間に
件から数千件の攻撃を継続的に確認しています。
攻撃が集中し、その後は減少傾向にあることはすで
に 2014 上半期 Tokyo SOC 情報分析レポートにて
7
2014 年上半期 Tokyo SOC 情報分析レポート
https://www-304.ibm.com/connections/blogs/tokyo-soc/res
ource/PDF/tokyo_soc_report2014_h1.pdf?lang=ja
200,000
150,000
100,000
50,000
2015/01/29
2015/01/15
2015/01/01
2014/12/18
2014/12/04
2014/11/20
2014/11/06
2014/10/23
2014/10/09
2014/09/25
2014/09/11
2014/08/28
2014/08/14
2014/07/31
2014/07/17
2014/07/03
2014/06/19
2014/06/05
2014/05/22
2014/05/08
2014/04/24
2014/04/10
0
図 12 OpenSSL の脆弱性(CVE-2014-0160)を悪用する攻撃の検知数の推移(日本国内)
（Tokyo SOC 調べ：2014 年 4 月 11 日∼2015 年 1 月 31 日）
17
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n Heartbleed 攻撃の送信元
図 13 は Tokyo SOC での Heartbleed 攻撃の送信元
IP アドレスの所有国の国別の検知数の割合です。
以上となっており、
2015 年 1 月に関しては全体の 86%
を占めるまでになっています。
この送信元は、Web サイト(図 14)によると”Internet
2014 年上半期同様、アメリカの IP アドレスが最も
Survey and Research Scan”との記載があり、調査の
多く、36.9%を占めており、Linode、Amazon といっ
ために継続的に脆弱性のスキャンを行っているとの説
たクラウドサービス事業者所有の IP アドレスが大半
明があります。また、スキャンからの除外を依頼する
を占める状況に変化はありません。
コンタクト先の記載もあります。
次いで検知の多かったスイスに関しては、2014 年
しかし、どのような組織・機関がスキャンを行って
10 月より検知が確認されている特定の送信元
いるのか不明であるため、直接スキャン除外の依頼等
(31.xxx.xxx.xxx)からの検知がほぼすべてとなってい
は行わず、自組織で管理する Firewall 等で該当の IP ア
ます。11 月以降は同送信元からの検知が全体の 70%
ドレスをフィルタリングすることを推奨します。
図 13 OpenSSL の脆弱性(CVE-2014-0160)を悪用する攻撃の送信元 IP アドレス国の割合(日本国内)
（Tokyo SOC 調べ：2014 年 7 月 1 日∼2015 年 1 月 31 日, 検知総数 261,246 件）
図 14 “Internet Survey and Research Scan” Web サイト
18
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n Heartbleed 攻撃の攻撃先 (業種別)
図 15 は Tokyo SOC における 2014 年 7 月以降の
Heartbleed 攻撃先の業種別検知数の割合です。
しかしながら、その他多くの業種においても、広
く攻撃が行われており、業種にかかわらず注意が必
要です。
2014 年 7 月以降では金融が 43.6%を占めていまし
た。
2014 年上半期は 80%以上の割合を占めており、
引き続き最も多く検知が確認されています。
2.7%
2.8%
4.0%
金融
7.0%
マスコミ、サービス
教育
4.8%
建設、不動産、エネルギー
43.6%
6.3%
レジャー、エンタメ
運輸
6.8%
自動車
電機、精密機器
10.4%
流通
11.6%
その他
図 15 OpenSSL の脆弱性(CVE-2014-0160)を悪用する攻撃の攻撃先業種別の割合(日本国内)
（Tokyo SOC 調べ：2014 年 7 月 1 日∼2015 年 1 月 31 日）
19
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
2.3 SQL インジェクション
2014 年下半期も 2014 年上半期から引き続き SQL
インジェクション攻撃を検知しています。2014 年上
半期と比較すると、検知総数としては約 2.2 倍に増
SQL インジェクションは、Web アプリケーション
加しています。これは、特定の期間に少数の送信元
への入力を介して Web アプリケーションと連動す
より少数の宛先に対して大量の攻撃を検知している
るデータベースに SQL 命令を不正に実行させる攻
ためで、多い日は 1 日に 16 万件以上の検知がありま
撃です。挿入した SQL 文の問い合わせ結果の違いに
す。
その攻撃の多くは SQL 文の
「WAIT FOR DELAY」
よって攻撃者が得たい情報を引き出す「ブラインド
句を使用したものや、ブラインド SQL インジェクシ
SQL インジェクション」や、攻撃者が意図した情報
ョン攻撃で、対象の Web アプリケーションに対して
を取得するために UNION 命令などの SQL 文を使用
SQL インジェクションの脆弱性の有無を調査する行
したもの、Microsoft SQL Server など特定のデータ
為です。このような調査行為は攻撃者が調査ツール
ベース製品固有の機能による情報取得や Web サイ
を使用して自動的に行っているものと考えられます。
ト改ざんを行うものなど、さまざまな攻撃手法が存
このような自動化されたツールの標的となった場合
在します。
は 10 万件以上の検知数が確認されています。
また、このような調査行為の多くは海外の IP アド
図 16 は 2014 年下半期の Tokyo SOC における
レスやクラウド事業者のサーバーの IP アドレスを
SQL インジェクション攻撃の検知数の推移です。
送信元としていますが、国内の ISP の IP アドレスを
送信元とする検知も一部確認されています。
180,000
160,000
140,000
120,000
100,000
80,000
60,000
40,000
20,000
Union命令を使用するSQLインジェクション
Microsoft SQL Serverを狙う攻撃
2014/12/30
2014/12/23
2014/12/16
2014/12/09
2014/12/02
2014/11/25
2014/11/18
2014/11/11
2014/11/04
2014/10/28
2014/10/21
2014/10/14
2014/10/07
2014/09/30
2014/09/23
2014/09/16
2014/09/09
2014/09/02
2014/08/26
2014/08/19
2014/08/12
2014/08/05
2014/07/29
2014/07/22
2014/07/15
2014/07/08
2014/07/01
0
ブラインドSQLインジェクション
図 16 SQL インジェクションの日別検知数推移(日本国内)
（Tokyo SOC 調べ：2014 年 7 月 1 日∼2014 年 12 月 31 日）
20
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n Drupal の脆弱性（CVE-2014-3704）を悪用し
た攻撃の検知状況
Tokyo SOC では、2014 年 10 月に公開された、オ
ープンソースのコンテンツ管理システムである
Drupal のバージョン 7.31 およびそれ以前(バージョ
ン 6 系は除く)に存在する SQL インジェクションの
脆弱性に対する攻撃も少数ながら継続的に確認して
います。
この脆弱性は、Drupal の管理用画面へのログイン
前に悪用することが可能な脆弱性であるため、攻撃
者が正規のユーザーアカウントを取得することなく
攻撃を行い、管理者アカウントを含む任意のユーザ
ーアカウントの作成やバックドアの設置を行うこと
このように、SQL インジェクションの脆弱性に対
する攻撃は引き続き確認されており、注意が必要な
攻撃であると言えます。
SQL インジェクションによる被害を未然に防ぐた
めに、ソフトウェアのアップデートや、独立行政法
人情報処理推進機構(IPA)が発行している「安全な
ウェブサイトの作り方」8などを参考に対策を検討し
てください。
8
独立行政法人情報処理推進機構, 安全なウェブサイトの作り
方
http://www.ipa.go.jp/security/vuln/websecurity.html
が可能です。
21
2014 年下半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
2.4 柳条湖事件が発生した 9
月 18 日前後の攻撃動向
柳条湖事件が発生した 9 月 18 日前後の攻撃動向に
ついては Tokyo SOC Report 9でもお伝えしましたが、
本節では 2014 年下半期全体の攻撃動向を見ること
で攻撃がどの程度発生しているか解説します。
9 月 18 日は満州事変の発端となった柳条湖事件が
起きた日であることから、この日の前後に日本を標
的とした攻撃が例年行われていました。この傾向は
2012 年頃まで顕著であり、Tokyo SOC で観測した
過去 5 年間のイベント件数は図 17 のとおりでした。
ただし、2013 年以降の攻撃件数は減少しています。
これに対して、2014 年下半期全体における攻撃の
検知状況は図 18 のとおりです。一時的な攻撃の急
増は発生していますが、件数としては平均して一日
あたり数百件で下半期を通して見ても 9 月 18 日の前
後で特に増加することはありませんでした。ただし、
倍以上となっています。この結果は、攻撃対象に大
規模攻撃として捉えられないようにしつつ、一定の
攻撃活動を行っているものと考えることができます。
攻撃数増減はあるものの定常的に発生しており、
また攻撃の手法としても特別なものではありません。
そのため、次のような基本的なセキュリティー対策
が平常時から行われていることが肝心です。
Ø
公開サービスに脆弱性が残されていないか
Ø
サーバー管理の通信を行うアクセス元の IP
アドレスを限定できているか
また、上記にあわせて、セキュリティー・インシ
デント発生時の連絡フローおよび運用体制が確保さ
れ、セキュリティー・インシデントへの対応を取れ
るようになっていることが重要です。
9
Tokyo SOC Report, 柳条湖事件が起こった 9 月 18 日前後の
攻撃動向について
https://www-304.ibm.com/connections/blogs/tokyo-soc/entr
y/201409attackfromcn?lang=ja
攻撃元の IP アドレスという観点では、通常、一日あ
たり 5 つ前後であるのが、2014 年 9 月 18 日には 4
22
2014 年下半期 Tokyo SOC 情報分析レポート
2014/07/01
2014/07/08
2014/07/15
2014/07/22
2014/07/29
2014/08/05
2014/08/12
2014/08/19
2014/08/26
2014/09/02
2014/09/09
2014/09/16
2014/09/23
2014/09/30
2014/10/07
2014/10/14
2014/10/21
2014/10/28
2014/11/04
2014/11/11
2014/11/18
2014/11/25
2014/12/02
2014/12/09
2014/12/16
2014/12/23
2014/12/30
イベント件数
7,000
6,000
検知数
IPアドレス数
5,000
15
4,000
3,000
10
2,000
1,000
0
2014 年下半期 Tokyo SOC 情報分析レポート
IPアドレス数
8,000
9月20日
9月18日
9月16日
9月14日
9月12日
9月10日
9月8日
9月6日
9月4日
9月2日
8月31日
8月29日
8月27日
8月25日
8月23日
8月21日
8月19日
8月17日
8月15日
8月13日
8月11日
60
8月9日
80
8月7日
100
8月5日
8月3日
8月1日
公開サーバーに対する攻撃の動向
120
2010年
2011年
2012年
2013年
2014年
40
20
0
図 17 過去 5 年間における 9 月 18 日前後の攻撃元 IP アドレス数の推移
(2010 年∼2014 年の各年における 8 月 1 日∼9 月 20 日)
25
20
5
0
図 18 2014 年下半期におけるセキュリティー・イベント数の推移
(2014 年 7 月 1 日∼12 月 31 日)
23
公開サーバーに対する攻撃の動向
2.5 まとめ
SQL インジェクションについても継続して攻
2014 年下半期に発生した GNU Bash に対す
る ShellShock 攻撃は攻撃の実行が非常に容易
であったため、脆弱性の公開直後から攻撃ツー
ルが公開され、非常に危険度が高い攻撃として
注目を浴びました。2014 年上半期に発生した
Heartbleed 攻撃と同様に、ShellShock 攻撃に
おいても脆弱性公開直後から多くの攻撃を確
認しています。また、サーバーに対して行われ
る ShellShock 攻撃は、DoS 攻撃やスパム送信
機能を持つボットプログラムを埋め込もうと
する試みが多く行われています。公開サーバー
で多く利用されるソフトウェアの脆弱性を狙
った攻撃は、脆弱性の公開から短期間で大規模
な攻撃が行われることがあり、この傾向は継続
しているものと考えられます。従来から、バー
ジョンアップや IPS での防御設定などの対策を
撃を確認しています。SQL インジェクションに
利用される脆弱性は、独自に開発したアプリケ
ーションのみならず、市場で一定のシェアをも
ったシステムに存在している場合もあります。
使用するアプリケーションの種類に関わらず、
セキュリティー診断などの定期的なチェック
を行うと共に、セキュリティー侵害が発生した
場合の対応手順を整えておく必要があります。
また、柳条湖事件が発生した 9 月 18 日の前
後において例年攻撃活動が発生していました
が、2014 年下半期は大規模な攻撃活動は確認
されませんでした。しかし、攻撃としては定常
的に発生しており、9 月 18 日の前後に関わら
ず、既知の脆弱性への対応など基本的なセキュ
リティー対策を行うことが肝要となります。
迅速に行うことが重要となります。
24
2014 年下半期 Tokyo SOC 情報分析レポート
[Column1] 世界のセキュリティー・オペレーション・センター
から
IBM SOC では収集された情報をもとに脅威動向の調査を行っており、その分析結果をトピックごとにレ
ポートとして公開 10しています。本コラムでは 2014 年下半期に公開したレポートからいくつかを取り上げ、
世界での攻撃動向をお伝えします。
l
SHELLSHOCK
IBM, MSS Threat Research Papers, ShellShock Report,
https://portal.sec.ibm.com/mss/html/en_US/support_resources/pdf/shellshock_final_report_10-21-2
014.html
GNU Bash の脆弱性を狙った攻撃は、日本に限らずその他の国々でも非常に注目を集めた攻撃でし
た。この攻撃は脆弱性自体の特性もありますが、その他の観点でも興味深い傾向が出ています。例
えば、攻撃元という観点では、国別の攻撃元のトップ 10 にアイスランドが登場していますが、今
回のような大規模攻撃においてアイスランドが送信元に出てきたのは、過去に例がない傾向でした。
図 19 アイスランドを送信元とする攻撃
(引用: IBM MSS Threat Research Papers: SHELLSHOCK)
図 20 アイスランドを送信元とする攻撃数
(引用: IBM MSS Threat Research Papers: SHELLSHOCK )
25
2014 年下半期 Tokyo SOC 情報分析レポート
l
HOLIDAY TRENDS: BLACK FRIDAY/CYBER MONDAY
IBM, MSS Threat Research Papers, Holiday Trends,
https://portal.sec.ibm.com/mss/html/en_US/support_resources/pdf/holiday_trends_12-18-2014.html
長期休暇期間前にセキュリティーに関する注意喚起が海外でも多く行われていますが、この期間に
おける攻撃の傾向や特徴について米国の事例をもとに記述しているのがこのレポートです。米国で
は 11 月の第 4 木曜に感謝祭が行われますが、その翌日の金曜日(ブラック・フライデー)およびサイ
バー・マンデーと呼ばれる週明けの月曜日について過去 3 年間の攻撃数の推移を示したのが図 21
です。この図から長期休暇期間中の攻撃数は減少傾向にあり、唯一攻撃が増加しているように見え
る 2012 年においても、感謝祭以前のほうが攻撃数としては多いことがわかります。このような注
意喚起によってセキュリティー意識が高まるために、攻撃者が攻撃の効果が薄いと判断していると
考えることができます。
図 21 ブラック・フライデーおよびサイバー・マンデー前後の攻撃数の推移
(引用: IBM MSS Threat Research Papers: HOLIDAY TRENDS: BLACK FRIDAY/CYBER MONDAY)
10
IBM, MSS Threat Research Papers, https://portal.sec.ibm.com/mss/html/en_US/support_resources/threat_papers.html
26
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
3 クライアント PC を狙った攻撃
クライアント PC を狙った攻撃では、
攻撃者は Web サイトやメールを悪用して侵入します。
その後、
侵入したクライアント PC を踏み台にして、組織内の奥深くにあるシステムの破壊や情報の窃取を行
います。
本章では、2014 年下半期に Tokyo SOC で確認したこれらの攻撃の特徴および動向について解説し
ます。
3.1 ドライブ・バイ・ダウンロード
攻撃
ドライブ・バイ・ダウンロード攻撃は、Web サイト
の閲覧を通じてクライアント PC へマルウェアを感染
させる攻撃手法です。攻撃者は、一般の Web サイト
や広告コンテンツを改ざんすることで、それを閲覧し
たユーザーを自動的に攻撃サーバーへ接続させ、クラ
イアント PC の脆弱性を悪用してマルウェアに感染さ
せます。
1,200
図 22 および図 23 は、Tokyo SOC におけるドライ
ブ・バイ・ダウンロード攻撃の検知数の推移です。2014
年下半期は 887 件と 2014 年上半期の 1,409 件と比較
して減少しています。特に、10 月上旬以降検知数が急
減しました。攻撃サーバーで使用されるツール（Exploit
Kit）のアップデートや変更によって脆弱性を悪用する
攻撃が検知できなくなり、見た目上の攻撃数が減少す
る場合もありますが、2014 年下半期は脆弱性の悪用成
功を示すマルウェアのダウンロードも併せて減少して
いました。この点から、ドライブ・バイ・ダウンロー
ド攻撃自体が減少傾向にあったと考えられます。
検知数
1,000
800
600
400
200
2012年7月
2012年8月
2012年9月
2012年10月
2012年11月
2012年12月
2013年1月
2013年2月
2013年3月
2013年4月
2013年5月
2013年6月
2013年7月
2013年8月
2013年9月
2013年10月
2013年11月
2013年12月
2014年1月
2014年2月
2014年3月
2014年4月
2014年5月
2014年6月
2014年7月
2014年8月
2014年9月
2014年10月
2014年11月
2014年12月
0
図 22 ドライブ・バイ・ダウンロード攻撃の月別検知数推移(日本国内)
（Tokyo SOC 調べ：2012 年 7 月 1 日∼2014 年 12 月 31 日）
27
2014 年下半期 Tokyo SOC 情報分析レポート
2014/07/01
2014/07/08
2014/07/15
2014/07/22
2014/07/29
2014/08/05
2014/08/12
2014/08/19
2014/08/26
2014/09/02
2014/09/09
2014/09/16
2014/09/23
2014/09/30
2014/10/07
2014/10/14
2014/10/21
2014/10/28
2014/11/04
2014/11/11
2014/11/18
2014/11/25
2014/12/02
2014/12/09
2014/12/16
2014/12/23
2014/12/30
クライアント PC を狙った攻撃
180
160
140
120
100
80
60
40
20
0
検知数
図 23 ドライブ・バイ・ダウンロード攻撃の日別検知数推移(日本国内)
（Tokyo SOC 調べ：2014 年 7 月 1 日∼2014 年 12 月 31 日）
2014 年下半期 Tokyo SOC 情報分析レポート
28
クライアント PC を狙った攻撃
n 攻撃の影響が確認された組織の割合
ドライブ・バイ・ダウンロード攻撃は図 24 のよう
な複数のステップを経てマルウェア感染およびその後
この割合も 2014 年上半期の 21.9%から減少し、約半
数となっています。これは、ドライブ・バイ・ダウン
ロード攻撃全体の減少によるものと考えられます。
の被害に至ります。Tokyo SOC では Step2 の脆弱性の
また、 2014 年下半期は Oracle Java Runtime
悪用が成功し、マルウェアのダウンロード以降のステ
Environment（JRE）に、攻撃に容易に悪用可能な新た
ップが確認された場合に攻撃成功と判断し、対応を開
な脆弱性が公表されませんでした。JRE は、新たな脆
始しています。
弱性が公表されアップデートがリリースされても、既
図 25 は Tokyo SOC でクライアント PC による通信
存のアプリケーションの動作への影響からすぐにはア
を監視している組織のうち、ドライブ・バイ・ダウン
ップデートしづらいという運用上の課題があります。
ロード攻撃や攻撃成功を示すマルウェアのダウンロー
しかし、2014 年下半期は新たな脆弱性が公表されなか
ドが確認された組織の割合です。2014 年下半期にドラ
ったことで悪用されている脆弱性への対策が進み、攻
イブ・バイ・ダウンロード攻撃が検知された組織の割
撃が行われる組織数減少につながったことも考えられ
合は 16.9%であり、2014 年上半期の 35.2%から減少
ます。
しました。また、11.3%の組織では脆弱性の悪用が成
功しマルウェアをダウンロードさせられていましたが、
Step 1
改ざんされたサイトへのアクセス
Step 2
PCの脆弱性を悪用する攻撃
危険度
Step 3
マルウェアのダウンロード
Tokyo SOCで攻撃成功と
判断しているポイント
脆弱性の悪用が成功
Step 4
マルウェアの実行
Step 5
C&Cサイトへの通信/命令受信
Step 6
内部システムへのアクセス
マルウェア感染が成功
攻撃者が感染PCの制御に成功
図 24 ドライブ・バイ・ダウンロード攻撃のステップと攻撃成功のポイント
29
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
11.3%
5.6%
マルウェア・ダウンロード発生
影響未発生
攻撃未発生
83.1%
図 25 ドライブ・バイ・ダウンロード攻撃の影響が確認された組織の割合(日本国内)
（Tokyo SOC 調べ：2014 年 7 月 1 日∼2014 年 12 月 31 日）
30
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
3.2 メールを悪用する攻撃
Ø
複数の企業やユーザーに対して同時に送信
されている
メールを悪用する攻撃は、ドライブ・バイ・ダウン
Ø
文面や窃取されたファイル等は利用されて
ロード攻撃と並んでクライアント PC に対する主要な
攻撃手段です。攻撃者は、不正な添付ファイルやリン
クを含むメールを送信し、ファイルを開かせたり、リ
いない
Ø
Tokyo SOC では、ゲートウェイ型のアンチウイルス
やアンチスパムのようなセキュリティー対策で防げな
かったメールを監視し、添付ファイルやメール本文に
含まれるリンクを調査しています。
アンチウイルスやアンチスパムを通過した不正なメ
ールといった場合、標的型攻撃（標的型メール攻撃）
と結びつけてしまいがちですが、実際には、特定の個
人や組織を標的としていない攻撃であっても検知を回
避されてしまう場合があります。
n 検知したメールの特徴
Tokyo SOC で 2014 年 11 月 1 日から 12 月 31 日の
期間に検知したメールは、次のいずれかの特徴を持つ
ものでした。
セキュリティーベンダー等から同様の攻撃
に関するレポートが公開されている
ンクをクリックさせたりすることでマルウェアに感染
させようとします。
メールや添付ファイルに業務メールを装う
このような特徴から、検知したメールは広範囲に行
われた攻撃の一部と考えられるもののみであり、標的
型攻撃と考えられるメールは含まれていなかったと判
断しています。
このような攻撃もマルウェア感染を主な目的として
います。感染するマルウェアはオンラインバンキング
の認証情報の窃取を目的としたものや、クライアント
PC 内のファイルを暗号化し、復号のためと称して金
銭を要求するもの（ランサムウェア）
、スパムメール送
信を目的としたものなど多岐にわたります。中には標
的型攻撃に利用されるものと同様に、感染したクライ
アント PC を遠隔操作する機能を有したマルウェア
（RAT:Remote Access Trojan）もあるため注意が必要
です。
31
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 利用される添付ファイルの形式
図 26 は、検知された不正な添付ファイルのファイ
態で送信されていました。今回調査対象としたファイ
ル形式別の割合です。実行形式ファイルが 59.4%、
ルのうち非圧縮の状態で送信されていたのは 1 件のみ
Microsoft Word 形式（doc / docx）のドキュメントファ
であり、その他は圧縮された状態で送付されていまし
イル(以降、Word ファイル)が 38.5%であり、この 2
た。圧縮形式は ZIP が最も多く、その他 7-Zip や RAR
つの形式が全体の約 98%を占めていました。その他、
が利用されています（図 27）
。これは、メールシステ
リッチテキストフォーマット（rtf）のファイルや Java
ムによっては実行形式など特定の拡張子を持つファイ
アーカイブ形式（jar）のファイルを検知しています。
ルの受信を制限できるものがあるため、そのような制
限を回避するために圧縮形式で送信されていると考え
実行形式のファイルの拡張子には、「exe」のほか、
られます。また、実行形式ファイルを利用した攻撃と
「scr」
、
「com」
、
「bat」
、
「pif」が利用されていました。
対照的に Word ファイルは圧縮されずに送信されてい
また、実行形式の添付ファイルは多くが圧縮された状
ました。
1.3%
0.9%
実行形式（exe/scr/com/bat/pif）
38.5%
Microsoft Word形式（doc/docx）
リッチテキストフォーマット（rtf）
59.4%
Javaアーカイブ（jar）
図 26 検知された添付ファイルのファイル形式別検知数割合
（Tokyo SOC 調べ：2014 年 11 月 1 日∼2014 年 12 月 31 日）
1.4%
5.2%
ZIP
7-Zip
RAR
93.3%
図 27 検知された添付ファイルの圧縮形式別割合
（Tokyo SOC 調べ：2014 年 11 月 1 日∼2014 年 12 月 31 日）
32
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 添付ファイルへの細工
Ø アイコンをドキュメントファイルのものに偽
本来のファイル形式を隠蔽するために以下のような
装する
細工を行っているものもあります（図 28）
。どちらも
Ø 実行形式ファイルのファイル名に別の形式を
以前から確認されている手法ですが、併用された場合
示す拡張子（
「pdf」など）を含め、その後ろに
には一見ドキュメントファイルのように見えるため、
長い空白（スペース）を入れる
注意が必要です。
見た目のファイル名
本来のファイル名
図 28 ファイル形式偽装の例
33
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 送信元メールアドレスと添付ファイルのハッシ
ュ値の特徴
ーバー）のドメイン名および URL や、システム上で生
成されるファイルなどの挙動が同一のものも多数確認
不正な添付ファイルによる攻撃では、同一の送信元
しています。このことから、攻撃者は同一のマルウェ
メールアドレスや、添付ファイル（ハッシュ値）を手
アであってもハッシュ値が一致しないように変更を行
がかりに攻撃の同一性を調査することがあります。
って攻撃していることが伺えます。
2014 年下半期に調査したメールでは、2 回以上利用
一方、Word ファイルを添付する攻撃では、数種類
されていた送信元メールアドレスは全体の 37.4%、添
の送信元メールアドレスおよび添付ファイルが継続し
付ファイル（ハッシュ値）は全体の 38.4%となってい
て検知されました。
ました。
全体の約 62%は 1 度だけの検知となっており、
このように異なる傾向となった理由として、Word
繰り返し利用される割合は少なくなっています。
ファイルを添付した攻撃は特定の攻撃者からのものの
この傾向は実行形式ファイルを添付した攻撃で特に
みであり、実行形式ファイルを添付した攻撃には複数
顕著であり、2 回以上検知された送信元メールアドレ
の攻撃者による攻撃が含まれていることが想定されま
スは 6.6%、添付ファイルは 13.7%のみでした(図 29,
す。しかし、攻撃期間や感染するマルウェアの種類を
図 30)。
限定した場合であっても、実行形式ファイルを利用す
る攻撃には送信元メールアドレスや添付ファイルのハ
添付ファイルでは、ハッシュ値が異なるものであっ
ッシュ値に目立った偏りは確認できませんでした。
ても、実行後に接続される攻撃指令サーバー（C&C サ
複数の攻撃
で検知
6.6%
1回のみ検知
93.4%
図 29 実行形式ファイルを添付したメールに関する送信元メールアドレスの重複割合
（Tokyo SOC 調べ：2014 年 11 月 1 日∼2014 年 12 月 31 日）
複数の攻
撃で検知
13.7%
1回のみ検知
86.3%
図 30 実行形式ファイルを添付したメールに関する添付ファイル（ハッシュ値）の重複割合
（Tokyo SOC 調べ：2014 年 11 月 1 日∼2014 年 12 月 31 日）
34
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 脆弱性の悪用の有無
脆弱性を悪用する攻撃では、Microsoft Office の脆弱
メールの添付ファイルを利用する攻撃は、大きく「脆
性（MS12-027/CVE-2012-0158）を狙う不正な RTF
弱性を悪用するもの」と「脆弱性を悪用しないもの」
ファイルが利用されていました。この脆弱性は、脆弱
に分けられます。
性公開直後から悪用が確認され、標的型攻撃を含む多
図 31 は、2014 年下半期に調査対象とした添付ファ
くの攻撃に利用されていたものです。しかし、脆弱性
イルに関する脆弱性を悪用する攻撃と脆弱性を悪用し
公表から時間が経過していることもあり、検知数は減
ない攻撃の割合です。脆弱性を悪用する攻撃は全体の
少しています。
1.3%であり、ほとんどが脆弱性を悪用しない攻撃とな
っていました。
ドライブ・バイ・ダウンロード攻撃では、脆弱性を
悪用することでユーザーの操作を介さずにバックグラ
実行形式ファイルを添付する攻撃ではファイルその
ものがマルウェアであり、添付ファイルを実行するこ
とで直ちにマルウェア感染につながります。
ウンドでマルウェア感染を完了させることができます。
それに対してメールの添付ファイルを利用する攻撃
では、脆弱性悪用の有無に関わらずファイルを開かせ
不正なマクロを利用した攻撃は、悪意あるマクロプ
るというユーザーの操作が必要となりますが、標的と
ログラムを含むドキュメントファイルを開かせ、マク
なったクライアント PC にインストールされたソフト
ロを実行させることでマルウェア感染を狙う攻撃です。
ウェアの種類や細かなバージョンの違いによらず攻撃
実行されるマクロプログラムは脆弱性の悪用を行うも
が成功する可能性があります。
のではなく、通常 Microsoft Office 製品において利用可
このような点から、メールを悪用する攻撃では脆弱
能な機能のみを使ってマルウェア感染を試みます。
性の悪用にこだわる必要がないという攻撃者の判断が
2014 年下半期に検知した Word ファイルを利用した攻
働いていることが考えられます。
撃は、すべて不正なマクロを利用していました。
1.3%
38.8%
脆弱性を悪用する攻撃
脆弱性を悪用しない攻撃
（不正なマクロの利用）
脆弱性を悪用しない攻撃
（実行形式ファイル）
59.9%
図 31 脆弱性を悪用する攻撃と脆弱性を悪用しない攻撃の検知数割合
（Tokyo SOC 調べ：2014 年 11 月 1 日∼2014 年 12 月 31 日）
35
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 不正なマクロを利用した攻撃の詳細
がなされています。そのため、不正なマクロプログラ
脆弱性を悪用しない攻撃のうち、2014 年下半期は特
ムの実行にはユーザーの明示的な許可が必要となりま
に不正なマクロを利用した攻撃が増加し、注目されま
す。しかしながら、Tokyo SOC では不正なマクロが実
した。国内では、2014 年 12 月 26 日にマクニカネッ
行されたことを示すマルウェアのダウンロードを検知
トワークス社より、攻撃の特徴や注意点を交えたレポ
しています。図 33 は、不正なマクロプログラムを実
ートが公開 11されました。また、2015 年 1 月 2 日に
行した結果マルウェアをダウンロードしたことを示す
は、マイクロソフト社からマクロを悪用するマルウェ
アが増加しているとして注意喚起が行われています
通信の検知数推移です。月ごとに偏りはありますが、
。
12
マクロを実行してしまう事例が後を絶ちません。この
図 32 は、Tokyo SOC で確認した不正なマクロプロ
理由として、業務用の文書でマクロを利用している場
グラムの一部です。意味のない命令や一部の文字の置
合に普段の操作の一環としてマクロの実行を許可して
き換えなど内容をわかりづらくする処理が行われてい
しまう場合があることや、マクロを自動的に実行する
ますが、外部からマルウェアをダウンロードして実行
ような設定を行っている場合があることなどが考えら
するという機能を備えています。今回確認できた限り
れます。
では、ダウンロードされるマルウェアはすべてオンラ
インバンキングのアカウント情報の窃取を目的とする
マルウェア（DRIDEX や DRIXED と呼ばれるマルウェ
ア）でした。
11
脆弱性を突かないエクスプロイト-マクロウィルス再び-（マクニ
カネットワークス）
http://blog.macnica.net/blog/2014/12/---a18d.html
12
Before you enable those macros… （Microsoft）
http://blogs.technet.com/b/mmpc/archive/2015/01/02/before
-you-enable-those-macros.aspx
Microsoft Office の標準設定では、ファイルを開いた
だけではマクロプログラムが実行されないような設定
図 32 不正なマクロプログラム（一部）
45
40
35
30
25
20
15
10
5
0
2014年7月
2014年8月
2014年9月
2014年10月
2014年11月
2014年12月
図 33 不正なマクロプログラムの実行によるマルウェアダウンロード数の推移
（Tokyo SOC 調べ：2014 年 7 月 1 日∼2014 年 12 月 31 日）
36
2014 年下半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
3.3 まとめ
メールを悪用する攻撃では、脆弱性を悪用せず、ユ
ーザーにマルウェア自体や不正なマクロプログラムを
2014 年下半期に Tokyo SOC が監視しているクライ
アント PC を設置している組織においてドライブ・バ
イ・ダウンロード攻撃が確認された割合は、2014 年上
半期の 35.2%から 16.9%に減少しました。このような
傾向は歓迎すべきことです。しかし、脆弱性の悪用が
成功し、マルウェアをダウンロードさせられた組織も
11.3%と１割以上あり、パッチ適用やアップデートと
いった対策を徹底することが難しいことを示していま
す。また、2014 年に話題となった GOM Player や
EmEditor に代表される事案のように、改ざんされた正
規のコンテンツを侵入経路とする攻撃にも引き続き注
意を払う必要があります。
実行させる攻撃が多く行われており、実際にはそれら
のファイルを開いたことでマルウェアのダウンロード
や感染を許してしまう事例が後を絶ちません。個人ユ
ーザーであれば添付ファイルを利用しない、マクロを
一切利用しないといった自衛策をとることも可能です
が、企業ユーザーが現実的な解決策として実施するこ
とは難しいと考えられます。また、以前から行われて
いる「不審なファイルは開かない」といったセキュリ
ティーの啓蒙活動も効果的ですが、最後は人間の判断
にゆだねられてしまう以上、すべての被害を防ぐこと
は困難です。
このような状況を踏まえ、マルウェアの侵入を想定
し、その事実にいち早く気づくための監視体制や、そ
の後の対応手順を整備しておくことが重要となります。
37
2014 年下半期 Tokyo SOC 情報分析レポート
[Column2] 公開された脆弱性情報に対する判断について
脆弱性情報の取り扱いについては 2014 年上半期 Tokyo SOC 情報分析レポートでもお伝えしたとおり、
その対応について冷静な判断が必要となります。本コラムでは SSLv3 の脆弱性 (CVE-2014-3566,
POODLE)と同時期に公開された Windows OLE の脆弱性(CVE-2014-4114)について、脅威の内容と実際の
Tokyo SOC のお客様からの注目度を比較してご紹介します。
双方の脆弱性について、公開当時より多くのお問い合わせをいただきましたが、問い合わせ数を比較す
ると、Windows OLE の脆弱性に比べて SSLv3 の脆弱性は約 5 倍となっていました。
これに対して、SSLv3 に設定された CVSS(Common Vulnerability Scoring System)の Base Score は以下
のとおり、10 段階のうち 4.3 となっていました。2014 年上半期 Tokyo SOC 情報分析レポートでもお伝え
したとおり、脆弱性の判断にはリスクアセスメントの手法が有効ですが、SSLv3 の脆弱性は攻撃を行うた
めに、中間者攻撃と組みわせる必要があることから脅威度は低めに設定されていました。
SSLv3 の脆弱性(CVE-2014-3566)
Windows OLE の脆弱性(CVE-2014-4114)
http://xforce.iss.net/xforce/xfdb/97013
http://xforce.iss.net/xforce/xfdb/96778
Base Score:
Base Score:
4.3
9.3
Access Vector:
Network
Access Vector:
Network
Access Complexity:
Medium
Access Complexity:
Medium
Authentication:
None
Authentication:
None
Confidentiality Impact:
Partial
Confidentiality Impact:
Complete
Integrity Impact:
None
Integrity Impact:
Complete
Availability Impact:
None
Availability Impact:
Complete
このように SSLv3 の脆弱性(CVE-2014-3566)については、攻撃のリスクが比較的低いにもかかわらず、
お客様にとっては大きな注目を集めた脆弱性でした。この理由としては SSLv3 の脆弱性が多くのニュー
ス・サイトなどで取り上げられたことが理由としてあげられます。
脆弱性の対応はリスクの度合いを冷静に判断することが必要ですが、ニュース・サイトなどで脆弱性情
報が取り上げられた場合にその脆弱性ばかりに注目が集まってしまうのが現実です。そのため、SOC のよ
うな実際の脅威情報を持っているセキュリティーアドバイザーを活用し、可能な限り正確な情報と動向を
集めた上で対応の優先度をつけていくことが、インシデントハンドリングを適切に行う上で重要となりま
す。
38
2014 年下半期 Tokyo SOC 情報分析レポート
[Column3] ドメイン名ブラックリストの有効性
インターネット上に存在するサービスの名前（主にドメイン名）と IP アドレスを紐付けるための仕組み
である Domain Name System（DNS）はインターネット利用者に欠かせない仕組みとなっていますが、ボ
ットネットの運用や標的型攻撃を行う攻撃者にも DNS は広く利用されています。攻撃者が使う悪性ドメイ
ン名をあらかじめブラックリストとして収集しておき、DNS の名前解決時やプロキシサーバーによる通信
の中継時にブラックリストに含まれる通信を許可しないことで、被害の防止に役立てることができます。
ブラックリストは多くのサイトで提供されているため必要に応じて取得することができますが、これらの
悪性ドメイン名の利用実態についてはこれまであまり取り上げられることがありませんでした。本コラム
では、2014 年 4 月から 12 月にかけてブラックリストに登録されている悪性ドメイン名が攻撃者にどのよ
うに利用されているかについて調査した結果をご紹介します。
hpHosts (http://hosts-file.net/) で 2014 年 4 月に公開されていたドメイン名のブラックリストを用いて、
これらのドメイン名を問い合わせた際にどのような応答を返すのかについて調査しました。DNS は多くの
機能を提供していますが、ここでは最も多く使われていると考えられる「ドメイン名から IP アドレスへの
変換」に着目しました。その理由としては、ドメイン名から IP アドレスが取得できればそのドメイン名が
機能している可能性がありますし、IP アドレスが取得できなければ攻撃に利用することもできないので、
活動を停止していると考えられるからです。
また、
応答する IP アドレスの更新頻度や共通性を見ることで、
そのドメイン名がどのように運用されているかを推測することができます。
◆ブラックリストに含まれるドメイン名はいつ消滅してしまうのか？
図 34 はブラックリストに含まれるドメイン名に問い合わせを行った際に、IP アドレスが取得できた数
の推移を表しています。もともとブラックリストには約 42 万件のドメイン名が登録されていましたが、4
月の調査開始時点で 28 万件程度しか IP アドレスを確認できませんでした。その後、徐々に IP アドレスが
減少していますが、6 月中旬に突然大量のドメイン名の IP アドレスが確認できなくなっていることがわか
ります。
図 34 ブラックリストに含まれるドメイン名に問い合わせを行った際の返答数の推移
39
2014 年下半期 Tokyo SOC 情報分析レポート
調査の結果、大量のサブドメインを持ついくつかのドメイン名が応答しなくなっていたことがわかりま
した。これらのドメイン名はそれまですべて同一の IP アドレスを返答していたため、同じ人物、あるいは
組織が運用していたドメイン名がシャットダウンされたのではないかと推測されます。その後は残りの約
17 万件のドメイン名がゆるやかに減少を続けますが、12 月末の調査終了時でも約 15 万件で IP アドレス
の取得が可能な状態にありました。
このことから、ブラックリストに掲載されているドメイン名は 9 ヶ月経っても相当数が活動を続けてい
ることがわかります。当初観測された約 28 万件から約 15 万件へと減少はしていますが、6 月中旬に大量
のドメイン名が活動しなくなるという現象が見られたものの、半数以上は活動を継続していると言うこと
ができます。もちろん 9 ヶ月という期間中に新しい悪性ドメイン名が出現すると考えられるのでリストの
更新は必要ですが、過去のブラックリストも継続的に利用する価値があると言えるでしょう。
◆利用される IP アドレスは時間とともに変化するのか？
それでは、ブラックリストのドメイン名に対して応答を返す IP アドレスはどのような特性を持っている
のでしょうか。近年の攻撃者はボットネットなどを利用して大量の IP アドレスを使い回せる状況にあるた
め、FastFlux 攻撃に代表されるように頻繁に IP アドレスが変化しているという印象があるかもしれません
が、実態がどのようになっているかについて調査しました。
図 35 はドメイン名ごとに「応答した IP アドレス数」と「応答内容が変更された回数」を集計し、ドメ
イン数の合計値をマッピングしたグラフになります。
「応答した IP アドレス数」は重複した IP アドレスを
1 つと数えています。それぞれのマスは該当するドメイン名がいくつあったかを集計し、色が濃いマスほ
ど該当するドメイン名が多いことを示しています。
最も左上のマス（図中の A の部分）が、観測期間中に 1 つの IP アドレスだけを応答し続けたドメイン名
の集まりになります。これが合計で 172,865 件あり、調査期間中に一度でも応答があったドメイン名
313,748 件の約 55%に該当します。調査期間中に一度だけ IP アドレスの応答があったドメイン名も含める
と 200,001 件となり、これは全体の約 63%です。このことから、およそ 3 分の 2 のドメイン名は 9 ヶ月間
のうちに IP アドレスがほぼ変更されないことがわかります。
図 35「応答した IP アドレス数」と「応答内容が変更された回数」のマッピング結果
40
2014 年下半期 Tokyo SOC 情報分析レポート
それでは、応答する IP アドレスを頻繁に変更するドメイン名はどのように IP アドレスを利用しているの
でしょうか。図の下側へいくにしたがって応答内容が多いドメイン名が表されています。もし、問い合わ
せのたびに新しい IP アドレスを返答しているとしたら、左上から右下（図中の B の部分）にかけて斜めの
線上の色が濃くなるはずです。しかし実際には全体的に下側へいくにしたがって左側（図中の C の部分）
に寄っていることがわかります。これは、応答内容は変えていたとしても応答する IP アドレスは重複して
いる、つまり同じ IP アドレスを使い回しているということを示しています。もちろん、変更のたびにまっ
たく異なる IP アドレスを返答しているドメイン名も少数ながらありますが、大部分は DNS ラウンドロビ
ンのような方式を使っていることが推測されます。
◆ブラックリストは一定期間有効である
以上の調査からドメイン名のブラックリストは、徐々に応答するドメイン名が減少するものの過去のブ
ラックリストにもある程度の有効性があることがわかりました。攻撃者は悪性ドメインを次々増やしてい
くため、継続的にブラックリストを更新していく必要がありますが、過去のブラックリストに掲載されて
いるドメイン名がどのように扱われているかについてのヒントになると考えています。
また、応答された IP アドレスがほとんど変化しないドメイン名も多く存在することがわかりました。こ
れらのことからブラックリストにあるドメイン名やそこから得られた IP アドレスが、Firewall や IPS で行
う監視・防御においても一定の有効性を持っていると言うことができます。
複雑化する攻撃に対処するためには、防御する側も情報を有効に活用する必要があります。セキュリテ
ィー機器を運用する際にはこのようなアプローチも検討してはみてはいかがでしょうか。
41
2014 年下半期 Tokyo SOC 情報分析レポート
おわりに
2014 年下半期は、上半期の Heartbleed と同じく、
まず「予防」ですが、これは例えばバージョン管理
影響範囲が広い GNU Bash の脆弱性を狙う攻撃
やパッチマネージメント、また脆弱性診断など事前に
（ShellShock 攻撃）が発生し、Tokyo SOC でも集中
対策を行う領域です。次の「可視化」は、ユーザー利
的に対応に当りました。発生の初期段階は調査行為と
用アプリケーションの把握、ログ管理製品を活用した
攻撃が入り混じっていたこともあり、攻撃の明確な傾
セキュリティー監査、また比較的最近の対策としてネ
向は見えていませんでしたが、後の分析でその多くが
ットワークフロー情報の監視によるベースラインアク
DDoS やスパムメール送信を意図したボットプログラ
ティビティーの把握などが含まれます。そして「防御」
ムを埋め込む試みであることがわかりました。このこ
は、Firewall やアンチウイルスなどのベースとなる対
とを企業側の視点から見れば、万が一被害に遭ってし
策に加え、IPS、WAF、サンドボックス、DLP ソリュ
まった場合は、攻撃の加害者になりかねない事態であ
ーションなどがこの領域に該当します。最後が「復旧」
ったと言えます。
です。基本的なバックアップ／リストアのデータ復旧
一方、クライアントを狙った攻撃に目を向けると、
特定の組織や人物をターゲットにしたものだけでなく、
対策だけでなく、広くはインシデントハンドリングや
BCP（事業継続プラン）にまでつながります。
不特定多数を対象とした攻撃もまだまだ多いことがわ
セキュリティー対策を考える場合、製品やソリュー
かります。また、現時点ではドライブ・バイ・ダウン
ションをもとに検討するケースが多いことから、どう
ロード攻撃の検知傾向が今後も減少していくかはわか
しても「防御」の領域が厚くなりがちです。場合によ
りませんので、本レポートで継続してお伝えしていき
っては類似した技術領域が重複している状況もあると
ます。
思います。一方、
「復旧」の領域は、その実施可否も含
このように影響の大きな脆弱性が年に数回公開され、
めて手薄になっていることはないでしょうか。また、
クライアントを狙った攻撃が多様化する状況下でセキ
「可視化」の領域は新しいセキュリティー対策の可能
ュリティーリスクに対処することは、非常に頭の痛い
性を含んでいます。
問題だと思います。セキュリティー対策を考える際に
そして実際に対応が発生した場合のスピードも無視
は、古くから提唱されている多層防御の考え方や公開
できません。各領域で採用する対策に時間軸を組み合
されている情報セキュリティーフレームワークを取り
わせて、自組織で実現するのか、フルアウトソースす
入れて網羅的、且つ効率的に行うことが重要です。一
るのか、クラウドなどサービスとして利用するのか等、
方で、対策を実施していく上でコストと優先順位の問
最善の方法を決定していきます。時間軸を踏まえて 4
題は避けて通れません。そこで、優先順位を決める際
つの領域のバランスを整えることで、結果的にインシ
に対策分野のバランスと時間軸を組み合わせて検討を
デント対応力の最大化が図れると考えます。
進めることをお客様にお話ししています。
対策分野については事前準備からインシデント解決
IBM は、
セキュリティー対策状況のアセスメントや、
までを見据えて、大きく「予防」
「可視化」
「防御」
「復
セキュリティー機器の運用・監視、さらにはインシデ
旧」に分類します。
ント発生時の駆けつけ対応である ERS（Emergency
Response Service）など、あらゆる領域で企業環境の
セキュリティー対策を広くサポートいたします。
42
2014 年下半期 Tokyo SOC 情報分析レポート
執筆者
鳥谷部彰則
（エグゼクティブ・サマリー、おわりに）
井上博文
（1 章）
猪股秀樹
（2 章）
窪田豪史
（3 章）
岡邦彦
（3 章）
菊地大輔
（1 章、コラム 1, 2）
水谷正慶
（コラム 3）
協力
小倉秀敏、鈴木貴、奥村亮、柳優、青柳昭広、田中航、茂木大輔、加藤紘平、小林恵子
IBM Security Operation Center (SOC)
Wrocław
Toronto
Tokyo
Boulder
Atlanta
Heredia
Brussels
Bangalore
Hortolândia
Brisbane
2015 年 3 月 5 日発行
日本アイ・ビー・エム株式会社
マネージド・セキュリティー・サービス
©Copyright IBM Japan, Ltd. 2015
IBM、IBM ロゴ、ibm.com、Ahead of the Threat は、世界の多くの国で登録された International Business Machines Corporation の商標です。他
の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、
www.ibm.com/legal/copytrade.shtml をご覧ください。
Microsoft および Windows は Microsoft Corporation の米国およびその他の国における商標です。
Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録商標です。
その他、本レポートに記載されている商品・サービス名は、各社の商標または登録商標です。
【注意】
●本レポートの情報は 2015 年 3 月 4 日時点のものです。内容は事前の予告なしに変更する場合があります。
●本レポートで紹介した対策は、利用環境によって他のシステムへ影響を及ぼす恐れがあります。また、攻撃は日々変化して
おり、必要となる対策もそれに応じて変化するため、記載内容の対策が将来にわたって効果があるとは限りません。対策を
行う際には十分注意の上、自己責任で行ってください。なお、IBM はこれらの対策の効果を保証するものではありません。
43
2014 年下半期 Tokyo SOC 情報分析レポート

Download Report