JPCERTコーディネーションセンター(JPCERT/CC)は、2012年四半期(2012年10~12月)に受付けたコンピュータセキュリティのインシデントレポートを発表した。報告されたフィッシングサイト件数は前期比3割増で、ブランド種別では「金融機関」が7割を超えた。Webサイト改ざんでは、Javaの脆弱性が攻撃対象となっていることが確認された。
2012年四半期(以下、当該四半期)にJPCERT/CCが受付けたインシデント報告件数は5064件で、JPCERT/CCが国内外の関連サイトとの調整を行ったインシデント調整件数は1497件だった。前年同期と比較すると、報告件数は102%増加、調整件数は99%増加した。
インシデントをカテゴリ別に分類すると、スキャン(システムの弱点を探索する)が52.8%と最多で、「Webサイト改ざん」13.9%、「フィッシングサイト」6.8%、「マルウェアサイト」4.0%、「DoS/DDoS」0.1%の順だった。ここでは、フィッシングサイトとWebサイト改ざんの傾向についてみてみよう。
■フィッシングサイト~国内ブランドが前期比3割増、「金融機関」7割超
当該四半期のフィッシングサイト件数は360件で、前四半期(2012年7~9月)の273件から32%増加した。国内のブランドを装ったフィッシングサイト件数は74件(21%)、国外ブランドを装った件数は227件(63%)で、国外は国内の3倍ある。前四半期との比較では、国内ブランドは57件から30%増加、国外ブランドは161件から41%増加となった。
フィッシングサイトのブランド種別では、「金融機関」を装ったものが72.7%と圧倒多数を占める。次いで「通信事業者」12.3%、「ポータル」8.0%、「企業」3.7%、「Eコマース」2.0%、「SNS」1.0%の順。
10月半ばには、ケーブルネットワークなど複数通信事業者のWebメールサービスを装ったフィッシングサイトが確認されている。異なるブランドに関するフィッシングメールに「共通の文面が使用されている」事例も確認された。10月末には、国内金融機関のネットバンキングのページに「第二認証情報」などを入力させる不正なポップアップ画面を表示し、入力情報を窃取するマルウエアが確認された。
■Webサイト改ざん~攻撃サイトへ誘導し、脆弱性攻撃で感染させる
当該四半期のWebサイト改ざん件数は737件で、前四半期の796件から7%減少した。
ページに不正に挿入されたJavaScriptやiframeによってサイト閲覧者を攻撃サイトに誘導し、複数の脆弱性を使用した攻撃によってパソコンをマルウエアに感染させるものが多く確認されている。2012年11月には、前月の10月に修正されたJavaの脆弱性を悪用してマルウエアに感染させる手法が、誘導先の攻撃サイトで確認された。
ソフトウェアを古いバージョンのまま使用していると、解消されていない脆弱性が狙われ、マルウエアに感染してしまう可能性が高くなる。脆弱性解消のためのアップデートを忘れないようにしたい。
JPCERT/CCはこのほか、当該四半期の対応例として、「国内大学からのデータベース情報流出」、「政府関係者を騙るマルウエア添付メール」、「国内金融機関のアカウント情報を窃取するマルウエアに関する対応」の3つを挙げ、それぞれの脅威の発生と対応の経緯について明らかにしている。
(2013/02/19 ネットセキュリティニュース)
【関連URL:JPCERT/CC】
・インシデント報告対応レポート[2012年10月1日~2012年12月31日]
http://www.jpcert.or.jp/ir/report.html