ラック、JSOCが検知した攻撃の実態レポート「JSOC INSIGHT vol.9」を公開
~Emdivi感染による通信の検知や、IISへの脆弱性を狙った攻撃などの情報を掲載~
2015年10月22日 | プレス
株式会社ラック(本社:東京都千代田区、代表取締役社長:髙梨 輝彦、以下ラック)は、自社で運営する日本最大級のセキュリティ監視センター「JSOC(ジェイソック)」のセキュリティレポート、「JSOC INSIGHT vol.9」を公開しました。
本レポートは、JSOCが監視しているIDS/IPS、サンドボックス、ファイアウォール機器において、2015年4月から6月までの間に検知したセキュリティ攻撃を、ラックのセキュリティアナリストが分析しインシデント傾向に加え、特に注目すべき脅威について、詳細に説明しています。
- 標的型攻撃によるマルウェア感染について
2015年4月から7月に、JSOCで監視している複数のお客様にて標的型攻撃によるマルウェアに感染した通信を検知し、緊急連絡を行った。この事例には、日本年金機構の情報漏えいで用いられたとされる、「Emdivi」と呼ばれるマルウェア通信の検知も含まれている。 - HTTP.sysファイル処理の脆弱性を悪用した攻撃通信の検知について
Windowsの特定バージョンに実装されるWebサーバであるIISの一部機能(HTTP.sys)に、リモートから任意のコード実行が可能な脆弱性(CVE-2015-1635、MS15-034)が公開された。JSOCでは攻撃対象の脆弱性の有無を調査する通信や、脆弱性を悪用し攻撃対象を再起動させる攻撃通信を検知しており、本レポートではこれらの詳細な解説を掲載している。 - PHPに含まれるサービス不能の脆弱性について
PHPのmultipart_buffer_headers関数には、form-dataのファイル名の取り扱いに不備があり、悪意のあるHTTPリクエストによりサービス不能状態に陥る脆弱性(CVE-2015-4024)が存在する。ラックは本脆弱性を狙った攻撃専用のツールが存在していることを確認しており、今後攻撃通信が発生する可能性があるため、注意喚起している。
「JSOC INSIGHT vol.9」目次
- はじめに
- エグゼクティブサマリ
- JSOCにおける重要インシデント傾向
3.1 重要インシデントの傾向
3.2 発生した重要インシデントに関する分析
3.3 大量に検知したインターネットからの攻撃通信例 - 今号のトピックス
4.1 標的型攻撃によるマルウェア感染について
4.1.1 Emdiviに感染した通信の検知事例
4.1.2 Emdiviなどの標的型攻撃への対策
4.2 HTTP.sysファイル処理の脆弱性を悪用した攻撃通信の検知について
4.2.1 HTTP.sysの脆弱性について
4.2.2 JSOCにおけるHTTP.sysの脆弱性を狙った攻撃の検知事例
4.2.3 HTTP.sysの脆弱性対策
4.3 PHPに含まれるサービス不能の脆弱性について
4.3.1 PHPに含まれるサービス不能の脆弱性の概要
4.3.2 本脆弱性を悪用した攻撃通信の検証
4.3.3 本脆弱性を悪用した攻撃への対策 - 終わりに
なお、詳細は次のURLより、本レポートをご覧ください。
https://www.lac.co.jp/lacwatch/report/20151022_000266.html
以上
株式会社ラックについて
ラックは、1986年にシステム開発事業で創業、多くの実績を誇る「金融系の基盤システム開発」「マーケティング・オートメーション支援」「ビッグデータ・アナリティクス」を始め、社会の基盤システムの開発を行っています。1995年にはいち早く情報セキュリティ事業を開始し、現在ではサイバーセキュリティ分野のリーディングカンパニーとして、官公庁・企業・団体等のお客様に業界屈指のセキュリティ技術を駆使した、先端のITトータルソリューションサービスを提供しています。2015年には、米フロスト&サリバンより、「セキュリティ監視」「脆弱性診断」「セキュリティ事故対応」「セキュリティコンサルティング」などが高く評価され、「日本市場マネージドセキュリティーサービス プロバイダー最優秀賞」を受賞しています。
* ラック、LAC、JSOC(ジェイソック)は、株式会社ラックの国内及びその他の国における登録商標または商標です。
* その他、記載されている会社名・団体名、製品名などは、各社の登録商標または商標です。