Web改ざんとマルウェア感染には「まず基本対策」、日本IBMが提言

日本IBMによれば、2013年上半期はWebサイト閲覧者をマルウェアに感染させる「ドライブ・バイ・ダウンロード」攻撃が前年同期比で4.2倍も増加した。脆弱性を解決するパッチの適用などが大切だと指摘する。

» 2013年08月26日 18時50分 公開
[國谷武史,ITmedia]

 日本IBMは8月26日、2013年上半期(1〜6月)の国内のセキュリティ動向を分析した報告書「2013年上半期 Tokyo SOC 情報分析レポート」を公開した。それによれば、Webサイトの閲覧者をマルウェアに感染させる「ドライブ・バイ・ダウンロード」攻撃が前年同期比で約4.2倍に増加していることが分かった。

 このレポートは、IBMが企業向けに提供しているネットワーク監視サービスで観測されたセキュリティ動向のうち、都内にある同サービスの東京セキュリティオペレーションセンター(SOC)における状況と分析結果を取りまとめたもの。年2回公開している。

 上半期にはドライブ・バイ・ダウンロード攻撃が3972件(前年同期は956件)検知されたほか、SSHやFTPサーバへの不正ログインを試みる攻撃では65%以上が中国のIPアドレスを発信元としていた。一方、組織を狙う標的型メール攻撃は前年同期の149件から今期は61件に減少した。同日会見したGTS ITS セキュリティ・サービス担当部長の徳田敏文氏によると、ドライブ・バイ・ダウンロード攻撃の急増ぶりは、日本において顕著にみられる動向だという。

ドライブ・バイ・ダウンロード攻撃の月別検知数推移(日本IBMより)

 ドライブ・バイ・ダウンロード攻撃では、Webサイトにマルウェア配布サイトへのリンクなどを埋め込むといった改ざんが行われ、閲覧者のコンピュータにWebブラウザを通じてマルウェアを送り込む手口が一般的だ。攻撃者はWebサイトを改ざんするために、SSHやFTPサーバなどの管理者権限を奪取したり、Webシステムを構成するソフトウェアの脆弱性を突いて不正なモジュールやコンテンツを設置したりする。

 SSHやFTPサーバに対する不正ログインの試行は、これまでIDとパスワードの全ての組み合わせを試す「ブルートフォース攻撃」や、組み合わせのパターンを推測して試す「辞書攻撃」が使われてきた。最近は、既にほかの場所で有効性が確認された組み合わせパターンを試す「リスト型攻撃」も使われているという。期間中には、FTPサービスへの不正ログインの試行において「admin」や「administrator」「test」といったデフォルトで設定されることの多いアカウントが使われるケースも全体の4分の1以上を占めていた。

FTPサービスに対する辞書/総当たり攻撃でログイン試行が行われたアカウント名の件数割合(日本IBMより)

 また、Webシステムのソフトウェアの脆弱性を悪用するケースではコンテンツマネジメントシステム(CMS)や、Webアプリケーションフレームワークの共通ライブラリといったミドルウェアの脆弱性を突く手口が目立っている。

日本IBM GTS ITS セキュリティ・サービス担当部長 徳田敏文氏

 こうした状況について徳田氏は、Webサイトの運営や管理を外部の事業者などに委託している場合に、責任範囲が不明瞭になっていることが一因として背景にあると指摘する。「委託元が委託先との契約条項を把握していないケースも散見される。こうした事項の把握はもとより、開発段階から脆弱性を作り込まないようにすること、Web管理に必要なアクセスでのIPアドレスを制限することといった基本的な取り組みが不可欠だ」と解説した。

 一方、ドライブ・バイ・ダウンロード攻撃の被害に遭うサイト閲覧者側でも、OSやアプリケーションなどの脆弱性を修正するパッチをこまめに適用するなどの基本的な対応が重要だという。

 レポートによると、ドライブ・バイ・ダウンロード攻撃で閲覧者のコンピュータにマルウェアを送り込む際に悪用される脆弱性は、Java Runtime Environment(JRE)が80.4%を占め、2012年下半期の10.4倍に増加。2012年下半期に最多だったAdobe Readerは9.2%に減少した。

 また、期間中でのドライブ・バイ・ダウンロード攻撃の成功率(さまざまなマルウェアなどを呼び込むダウンローダへの感染)は13.2%で、86.2%は「影響なし」だった。徳田氏は、「13.2%という数字は決して小さいものではなく、大企業なら1割強の社員でも相当数に上ってしまう。クライアントPCでのパッチ適用は(サーバなどに比べ)難しくないはず。基本の徹底が被害抑止になる」と述べた。

チーフ・セキュリティー・アナリスト 井上博文氏

 レポート作成を担当したSOC チーフ・セキュリティー・アナリストの井上博文氏によれば、同社が監視する顧客企業でのWeb改ざん被害は発生しておらず、実際に被害に遭った企業から調査や相談を持ちかけられる場合が多い。「当社の顧客に被害が無いのは、セキュリティ対策の運用が以前から適切に行われていることがあると思われる。相談に来られる企業の中には運用がきちんとされていない場合も散見される。日常的な意識や取り組みが分かれ道になるだろう」という。

 標的型メール攻撃についてはSOCでの検知数は減少したものの、同社は実態数が減少していないとみている。井上氏によれば、日本語の文面に違和感が無く、添付ファイルに含まれる悪性コードなども難読化されているなど、検知システムを巧妙に回避するようになっている。「対策がより難しい状況になっている。今後は複数の対策機器からログを収集、分析して、事実の把握と対応を迅速に行える仕組みが必要になるだろう」と話している。

不正なメールに添付されていたドキュメント/ファイルの例(日本IBMより)

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ