JPCERTコーディネーションセンター(JPCERT/CC)は、2014年第4四半期(2014年10~12月)に受け付けたインシデントレポートを発表した。「Webサイト改ざん」「フィッシング」は前四半期より減少したが、弱点を探索する「スキャン」は大幅増加、閲覧するだけで感染する「マルウエアサイト」も増加し、インシデント報告件数は全体で34%増加した。
JPCERT/CCは、国際的な調整・支援が必要なコンピューターセキュリティのインシデント(脅威となる案件)について、日本の窓口組織として調整活動を行っており、国内外のインシデントの報告を受け付けている。14日に発表された昨年10~12月(2014年第4四半期)のレポートによると、寄せられたインシデントの報告件数は6231件で、前四半期4638件より34%増加、前年同期と比較すると29%増加している。
カテゴリ別にみると、「Webサイト改ざん」は781件(前四半期968件)、「フィッシングサイト」は406件(同417件)で、それぞれ前期より減少した。増加が顕著なのは、システムの弱点を探索するスキャンの対象となる「スキャン」3592件で、前期の1948件から84%増加している。閲覧するだけで感染してしまう「マルウエアサイト」も312件(同271件)と、前期より15%増加した。
■Webサイト改ざん--修正された脆弱性による感染を確認
JPCERT/CCは、昨年11月後半から12月半ばにかけて、Windows OLEの脆弱性(MS14-064)を悪用した感染事例を複数確認したという。改ざんサイトから誘導されるページに、この脆弱性を悪用してマルウエアに感染させるコードが埋め込まれていた。この脆弱性は昨年11月12日のセキュリティアップデートで公表されたもので、公表時点でパッチを適用していれば、その後の感染は防げたはず。JPCERT/CCは、セキュリティアップデートの公開後は、攻撃の被害を防ぐために、できる限り早く適用するようアドバイスしている。
12月初めごろからは、不審サイトに誘導する改ざん(難読化されたJavaScriptをページ末尾に埋め込む)が行われたサイトが多数確認されている。他にも、「SEOポイズニング」目的とみられる改ざんサイトや、薬の販売や宣伝目的とみられるサイトへの転送設定が記述されたページの設置事例などが多数確認された。
■フィッシング--国内金融機関の偽サイト減少、国外ブランドは25%増加
フィッシングサイトの報告件数406件のうち、国内ブランドの偽サイトは75件で、前四半期の139件から46%減少した。国外ブランドの偽サイトは236件で、前四半期の189件から25%増加した。国内ブランドの大幅な減少は、国内金融機関の偽サイトの減少が原因だという。国内金融機関の偽サイトは前四半期では非常に多く確認されていたが、昨年10月には減少し、11月以降には確認されなかった。国内オンラインゲームサービスを装ったフィッシングサイト数も前四半期に比べて減少したが、こちらは昨年10月末以降、継続的に報告が寄せられているという。偽サイトの割合をブランド種別でみると、もっとも多いのは金融機関サイト(47.9%)で、次位のポータルサイト(21.5%)と合わせ全体の約7割を占める。他には、Eコマース(6.4%)、通信事業者(5.8%)、ゲーム(5.8%)、SNS(2.3%)、企業(1.9%)など。
偽サイトの調整先の割合は、国内70%、国外30%で、前四半期(国内58%、国外42%)に比べ、国内調整が増加した。
JPCERT/CCはこの他、「国内Webサイトのドメイン名ハイジャックに関する対応」「国内組織のデータベース情報がアップロードされた文書共有サイトに関する対応」「12月前半に発生したSSHブルートフォース攻撃に関する対応」の3つの対応事例を挙げ、それぞれのインシデントの原因究明と調整のプロセスを報告している。
(2015/01/22 ネットセキュリティニュース)
【関連URL:JPCERT/CC】
・インシデント報告対応レポート [2014年10月1日~2014年12月31日] [PDF]
http://www.jpcert.or.jp/pr/2015/IR_Report20150114.pdf