日本の組織を狙う標的型攻撃メールは9〜17時に集中、IBM調べ

日本IBMは2012年上半期のセキュリティ動向レポートを発表、標的型メール攻撃が前期比で2倍に増加したという。

[ITmedia]

　日本IBMは8月2日、2012年上半期（1〜6月）に国内の企業環境に影響を与えるセキュリティ脅威の動向を分析した報告書「2012年上半期東京SOC情報分析レポート」を発表した。2011年下半期に比べ、攻撃や機密情報漏えいなどを目的に企業や個人に送りつける標的型メール攻撃の検知数が約2倍に増加したという。

　報告書によれば、標的型メール攻撃では添付ファイルとして脆弱性を悪用する攻撃コードを送りつけるが、上半期はMicrosoft OfficeやAdobe Readerなどの新たな脆弱性が発見された。同社はこれを悪用する攻撃が一時的に増加したとみる。

　標的になった組織は、政府関係機関が25％、報道機関が23％と高い傾向にあり、その他の業種の組織も攻撃を受けけた。攻撃の多くは平日（月曜日から金曜日）に行われ、時間帯も午前9時から午後5時が中心。午前2時から7時までは攻撃が行われず、攻撃者は日本の一般的な就業時間帯を中心に攻撃を行っていることが判明したという。

　標的型メール攻撃の添付ファイルは、約9割がドキュメントファイルなどの脆弱性を悪用して不正コードを感染させるものだった。修正パッチ公開前に攻撃が発生する「ゼロデイ」脆弱性が悪用されたケースは0.2％だけで、大半は既知の脆弱性だったことから、アプリケーションを最新の状態にすることで、こうした攻撃の被害を受けにくくなるとアドバイスする。

　Webサイトなどを通じて不正プログラムに感染させる「ドライブ・バイ・ダウンロード攻撃」は、平均で1日当たり10件程度、多い日には100件を超える攻撃があった。WindowsだけでなくMacでも攻撃が確認されたという。Webアプリケーションに対する攻撃ではSQLインジェクション攻撃が約8割を占めていた。

　同社が対応したセキュリティインシデントでの攻撃側の動機を想定分析したところ、「金銭目的」が大半で、非合法的な情報収集などを目的とした「諜報活動」は約0.4％、サービス妨害や名誉毀損（きそん）を目的とした「示威行動」は0％だった。