日本IBMは8月2日、主に国内の企業環境に影響を与えるインターネット脅威の動向をまとめた「2012年上半期東京SOC情報分析レポート」を発表した。同レポートは、世界9ヵ所のIBMセキュリティー・オペレーション・センター(SOC)で観測した2012年上半期(1月~6月)のインターネット・セキュリティー情報をもとに、東京SOCがまとめたもの。

発表内容によると、今期は、機密情報漏洩などを目的として企業や個人に送りつける標的型メール攻撃の検知数が、2011年下半期と比べて約2倍と大幅に増加している。標的型メール攻撃はアプリケーションなどに脆弱性が発見されると一時的に増加する傾向があり、今期はMicrosoft OfficeやAdobe Readerに複数の脆弱性が見つかったことが検知数の増加理由と考えられている。

標的型メール攻撃の検知件数比較

標的型メール攻撃のターゲットになった組織の内訳を見ると、政府関係機関と報道機関の割合が多い。その他にも、製造、金融、運輸などさまざまな組織が攻撃対象になっており、大企業だけでなく中小企業でも攻撃が確認されている。

標的型メール攻撃のターゲットとなった組織の業種別割合

なお、攻撃の多くは平日の9時~17時に行われており、2時~7時には攻撃が行われていないという。日本の一般的な就業時間帯を中心に攻撃が行われていることがうかがえる。

標的型メール攻撃の曜日別の検知数

標的型メール攻撃の時間帯別の検知数

また、標的型メール攻撃の添付ファイルの約9割は、ドキュメント・ファイルなどの脆弱性を悪用して不正コードを感染させるもので、アプリケーションを最新バージョンに対応させることで、標的型メール攻撃の被害を受けにくくなることが明らかになっている。

東京SOCは標的型メール攻撃の防御策について、不正メールの対策だけでなく、内部ネットワークで不正な挙動を検出するためのシステムや、内部サーバーの堅牢化、重要情報漏えいの防止など、多層防御の仕組みを取り入れることが重要とする見解を示している。

このほか同レポートでは、Webアプリケーションへの攻撃や、改ざんしたwebサイトを通じてウイルスを感染させるドライブ・バイ・ダウンロード攻撃などについても分析されている。レポートの全文(PDF)は同社のWebサイトからダウンロードできる。