ラックは4日、同社が運営するセキュリティ監視センター「JSOC」における2017年1月から3月までの国内インシデント傾向などを纏めたレポート「JSOC INSIGHT vol.16」をPDFで公開した。
JSOCは、同社が運営する国内最大級のセキュリティ監視センターで850団体、IDS/IPS、UTM、サンドボックス、ファイアウォール機器など1,500センサー以上からの集計規模、1日8億件を超えるログの監視・分析を行っている。レポートの重要インシデントの傾向では、緊急事態と判断したインシデント(Emergency)や攻撃が成功した可能性が高いと判断したインシデント(Critical)など重要インシデントの傾向を、インターネットからの攻撃と組織ネットワーク内部から発生したものに分けてグラフ化している。
3月上旬はApache Struts 2における任意コードの脆弱性(S2-045)を悪用した重要インシデント、3月下旬にはIIS 6.0のWebDAV機能における任意のコード実行の脆弱性(CVE-2017-7269)がインターネットからの攻撃として多発している。
ネットワーク内部から発生した重要インシデントでは、金融機関を中心に情報窃取を狙うUrsnif(Gozi)の感染、DNSサーバの設定を書き換えるDNS Changerなどのマルウェア感染に起因するインシデントが2月下旬から3月中旬に他の週より多く発生している。
Apache Struts 2の脆弱性(S2-045)は脆弱性情報の公開(3月6日、19:00ごろ)の翌日には攻撃が検知、翌日の深夜から早朝にかけて、多数の攻撃が検知され、9日にはバックドアが実際に作成されたことを確認したEmergencyインシデントが発生している。攻撃者は日常的に脆弱性情報を収集しており、攻撃可能な脆弱性情報が得られ次第、対策されるまでの短い期間を狙って攻撃している。脆弱性情報をいちはやく収集し、速やかに対策をできる体制の構築が必要であることを改めて喚起している
トピックスとして、WordPress REST APIの脆弱性(4.7.0から4.7.1)、Apache Struts 2におけるリモートからの任意のコード実行可能な脆弱性(S2-045、CVE-2017-5638)、IIS 6.0のWebDAV機能における任意コード実行の脆弱性(CVE-2017-7269)を詳細にレポートしている。