日本IBMは2015年3月5日、2014年下半期(7月から12月)における国内のサイバー攻撃の動向をまとめた「2014年下半期Tokyo SOC情報分析レポート」を公表した。メールに添付されて送られるウイルスなどの攻撃ファイルのうち、ソフトウエアの脆弱性を突くのはわずか1.3%だったという。

 同レポートでは、サーバーとクライアントそれぞれに対する攻撃の特徴などをまとめている。クライアントに対するメール攻撃の特徴は、脆弱性を悪用しない攻撃がほとんどだったということ。脆弱性を悪用する攻撃は、わずか1.3%だった(図1)。

図1●脆弱性を悪用する攻撃と脆弱性を悪用する攻撃の割合(「2014年下半期Tokyo SOC情報分析レポート」から引用。以下同じ)
図1●脆弱性を悪用する攻撃と脆弱性を悪用する攻撃の割合(「2014年下半期Tokyo SOC情報分析レポート」から引用。以下同じ)
[画像のクリックで拡大表示]

 ここでの「脆弱性を悪用する攻撃」とは、添付されたファイルに、ソフトウエアの脆弱性を突く仕掛けが施されている攻撃のこと。例えば、Adobe Readerの脆弱性を突くPDFファイルを使った攻撃が挙げられる。通常、PDFファイルを開いてもウイルスに感染しないが、脆弱性を突かれると感染する恐れがある。

 同社の観測によると、脆弱性を悪用しない攻撃ファイルのうち、59.9%は実行形式ファイルで、38.8%は悪質なマクロを含むOfficeファイルなどだった。Officeアプリケーションは、初期設定ではマクロは無効なので、ユーザーをだまして有効にさせるケースが多い(関連記事:「中身を読みたければマクロを有効にして」、帰ってきたマクロウイルスの手口)。

 脆弱性を悪用しないメール攻撃が多い理由として同レポートでは、「メールの添付ファイルを利用する攻撃では、脆弱性悪用の有無にかかわらず、ユーザーにファイルを開かせる必要があるため」と分析する。

 脆弱性を悪用する場合でも、悪用しない場合と同様に、ユーザーをだましてファイルを開かせる必要がある。それなら、実行形式ファイルやマクロを含むファイルを使っても同じだと攻撃者は判断しているという。