日本 IBM は、主に日本国内の企業環境に影響を与える脅威の動向を Tokyo SOC が独自に分析してまとめた「2012年下半期 Tokyo SOC 情報分析レポート」を公表した。

「2012年下半期 Tokyo SOC 情報分析レポート」では、短時間かつ集中的な特定のターゲットへの攻撃が増加している傾向を示しており、攻撃者の最終的な目的である情報の窃取や情報システムの破壊を防ぐためには、多層的な対策が有効であることを改めて喚起している。同時に、従来の防御策をくぐり抜ける巧妙化した攻撃の出現を指摘、それらを検知するためには、システムのセキュリティに係るあらゆるログを集積し、解析した「セキュリティー・ビッグデータ」の活用が重要である、としている。

特定の企業や個人に不正な添付ファイルを含むメールを送信する攻撃手法である「標的型メール攻撃」は、今期は前期比約1.4倍、2011年下半期との比較では約2.5倍強の攻撃が観測されるなど、引き続き増加傾向にある。そのため、不正なメールを防御するといった入口の対策だけではなく、内部の監視や、出口対策を多角的な視点でバランスよく実施し、攻撃者から情報資産を守る対策が必要だ。

また、一般の Web サイトを不正に改ざんし、それを閲覧したユーザーを自動的に不正な攻撃サーバーへリダイレクトさせ、クライアント PC の脆弱性を悪用してマルウェアに感染させる「ドライブバイダウンロード攻撃」も高い危険度にある。これらの攻撃を防ぐためには、アプリケーションやプラグインなども含めたクライアント PC でのパッチ管理と、URL フィルターなどによる Web アクセスの制御、脆弱性対策、ウイルス対策といった多層的な対策が有効だという。

Web アプリケーションに対する攻撃は、SQL インジェクション攻撃に代表される脆弱性を狙った攻撃が全体の9割弱を占めている。従来のような、調査活動なしに侵入を試みる稚拙な攻撃行為は、継続して減少傾向にある一方で、今期は短期間に特定のターゲットに対して Microsoft SQL Server を狙う SQL インジェクション攻撃を確認しており、事前にターゲットを絞り込んで、成功率が高いサイトを狙うようになっている。

2012年下半期 Tokyo SOC レポート公表、標的型メール攻撃が2.5倍に
ドライブ・バイ・ダウンロード攻撃の検知数推移