今週のSecurity Check(第226回)

 昨今、注目を集めている標的型攻撃メール。この攻撃メールには、実は攻撃者の目的を類推できる情報が含まれていることがある。こうして得た様々な情報を組み合わせれば、攻撃者の目的や背景などを把握できるようになるかもしれない。今回は、そうした攻撃から得られる情報のうち、攻撃の時間帯に注目してみる。

 インターネット上で行われる攻撃は、曜日や時間帯で攻撃頻度が変化することがよくある。この攻撃周期の情報は、攻撃者の活動ペースに関係している可能性があるため、攻撃者の背景を理解するのに役立つ。日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)で標的型攻撃メールが送信される時間帯を調査したところ、メールが送信される時間に、ある傾向が見つかった。

 東京SOCで検知した、国内の組織宛てに送られた標的型攻撃メールを分析した結果が図1である。多くの攻撃は、月曜日から金曜日に攻撃が集中しており、休日の土曜日・日曜日には攻撃が減少していることが分かる。

図1●標的型攻撃メールが送信される曜日別件数(東京SOC調べ:2011年1月~2012年6月)
図1●標的型攻撃メールが送信される曜日別件数(東京SOC調べ:2011年1月~2012年6月)

 さらに図2は、標的型攻撃メールが送信された時間帯を集計した結果である。不正なメールは主に9時から17時を中心に送信されており、夕方の18時から夜中1時までは減少していることが分かる。また、2時から7時までは標的型攻撃メールは1件も確認されていない。

図2●標的型攻撃メールが送信される時間帯別件数 -日本の組織をターゲット-(東京SOC調べ:2011年1月~2012年6月)
図2●標的型攻撃メールが送信される時間帯別件数 -日本の組織をターゲット-(東京SOC調べ:2011年1月~2012年6月)

 これらの結果から、国内の組織をターゲットとした標的型攻撃メールは、日本の一般的な就業時間帯に送られていることが分かった。このように攻撃が日本の就業時間帯を中心に行われている理由は以下のようなものが考えられる。
1.トラフィックが多い就業時間帯に仕掛けることで、攻撃に気付かれないようにしている
2.攻撃者は日本と同じまたは時差の近い国から攻撃を仕掛けている
3.2が推測されるようにあえてこのような時間帯に攻撃を仕掛けている

海外の組織を狙った攻撃と比べてみると・・・

 この攻撃に関しては、海外の組織をターゲットにした攻撃についての分析結果と比べることで、ある推測が成り立つ。

 図3はGMT+1に位置する国の組織に対して標的型攻撃メールが送信された時間帯である(海外のSOCで検知したもの)。攻撃は、4時を中心として1時から10時までに集中している。

図3●標的型攻撃メールが送信される時間帯別件数 -GMT+1の組織をターゲット-(2012年1月~2012年6月)
図3●標的型攻撃メールが送信される時間帯別件数 -GMT+1の組織をターゲット-(2012年1月~2012年6月)

 一見、日本への攻撃とパターンが異なるように思えるが、実はこの1時から10時は、日本と同じGMT+9の時間帯にしてみると9時から18時になる。つまり日本の組織に対する攻撃が発生したのと同じ時間帯である。こうなると、どちらの攻撃も、同じ攻撃者によるものではないかと推測できる。もしそうなら、攻撃者はトラフィックの多い時間帯に攻撃を紛れ込ませようとしているわけではなさそうだ。GMT+9の9時から18時頃が、攻撃者にとっての活動時間帯であると考えるほうが自然だろう。

 このように標的型攻撃メールの送信時間の情報を調べることで、攻撃者の属性を推測できる可能性がある。さらに、攻撃に利用されるマルウエアの情報なども合わせることによって、さらに多くの情報をつかめる可能性がある。このような分析から得られた情報を蓄積すれば、今まで以上に強固なセキュリティ対策が可能になるかもしれない。


朝長 秀誠
日本アイ・ビー・エム セキュリティー・オペレーション・センター
セキュリティー・アナリスト

 「今週のSecurity Check」は,セキュリティに関する技術コラムです。日本アイ・ビーエム マネージド・セキュリティー・サービスのスタッフの方々を執筆陣に迎え,同社のセキュリティオペレーションセンター(SOC)で観測した攻撃の傾向や,セキュリティコンサルタントが現場で得たエッセンスなどを織り交ぜながら,セキュリティに関する技術や最新動向などを分かりやすく解説していただきます。(編集部より)




■IBM Security Servicesが提供するネットワークセキュリティの最新情報はこちら