ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.22
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.22
2014年2月18日
RSS

目次

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、状況により多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

直接観測による状況

図-2に、2013年10月から12月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※31)、サーバに対する攻撃(※32)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。

この3ヵ月間でIIJは、498件のDDoS攻撃に対処しました。1日あたりの対処件数は5.4件で、平均発生件数は前回のレポート期間と比べて減少しています。DDoS攻撃全体に占める割合は、サーバに対する攻撃が41.6%、複合攻撃が51.8%、回線容量に対する攻撃が6.6%でした。

今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大105万5千ppsのパケットによって2.94Gbpsの通信量を発生させる攻撃でした。

攻撃の継続時間は、全体の89.2%が攻撃開始から30分未満で終了し、10.6%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃も0.2%ありました。なお、今回もっとも長く継続した攻撃は、複合攻撃に分類されるもので3日と8時間51分(80時間51分)にわたりました。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※33)の利用や、DDoS攻撃を行うための手法としてのボットネット(※34)の利用によるものと考えられます。

図-2 DDoS攻撃の発生件数

図-2 DDoS攻撃の発生件数

backscatterによる観測

図-3 DDoS攻撃のbackscatter観測による攻撃先の国別分類

図-3 DDoS攻撃のbackscatter観測による攻撃先の国別分類

次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※35)によるDDoS攻撃のbackscatter観測結果を示します(※36)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。

2013年10月から12月の期間中に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。

図-4 DDoS攻撃によるbackscatter観測(観測パケット数、ポート別推移)

図-4 DDoS攻撃によるbackscatter観測(観測パケット数、ポート別推移)

観測されたDDoS攻撃の対象ポートのうち最も多かったものは、Webサービスで利用される80/TCPで、対象期間における全パケット数の45.8%を占めています。またストリーミング通信で利用される1935/TCPや、SSHで利用されている22/TCPなどへの攻撃、通常は利用されない8000/tcpや8877/TCPなどの攻撃が観測されています。

図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、今回の期間では米国が14.9%が最も大きな割合を占めていました。その後にロシアの10.1%、チリの9.5%といった国が続いています。今回チリからの攻撃を多く観測していますが、これは特定のハニーポットに対して複数のIPアドレスからの445/TCPの攻撃をこの期間中合計で8万5千回以上観測したためとなります。

特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、まず、Webサーバ(80/TCP)への攻撃としては、10月17日にアゼルバイジャンのニュース事業者のWebサーバからのbackscatterを観測しています。この事業者への攻撃は10月23日にも同様に観測されています。10月26日には、ウクライナのISPとルーマニアのホスティング事業者のサーバへの攻撃を観測しています。

今回の期間ではチリからの攻撃を多く観測していますが、これは特定のハニーポットで445/TCPに対する攻撃を観測したためで、複数のIPアドレスからの攻撃が12月11日や12月14日、12月24日に多く観測されています。この通信は期間中、合計で8万5千回以上観測しています。10月2日にはイランのサーバに対するポートスキャンによると考えられる通信を、同じく11月9日にはアルゼンチンのサーバに対する攻撃を観測しています。11月9日や12月9日など複数の日時にドイツのホスティング事業者のサーバに対する8000/TCPへの攻撃を、11月17日と12月6日にはロシアのホスティング事業者のサーバに対する8877/TCPへの攻撃をそれぞれ観測しています。これらのポートは通常のアプリケーションで利用するポートではないため、それぞれの攻撃の意図は不明です。

また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、10月から複数発生したGitHubに対する攻撃、同じく10月に発生したAnonymousによると考えられるInterpol IndonesiaのWebサーバに対する攻撃、11月に発生したAnonymousによると考えられるロシアの政府機関への攻撃、12月に発生した英国の金融機関への攻撃を観測しています。

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※37)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※38)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

無作為通信の状況

図-5 発信元の分布(国別分類、全期間)

図-5 発信元の分布(国別分類、全期間)

2013年10月から12月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に、その総量(到着パケット数)の推移を図-6に、それぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。

図-6 ハニーポットに到着した通信の推移(日別・宛先ポート別・1台あたり)

図-6 ハニーポットに到着した通信の推移(日別・宛先ポート別・1台あたり)

ハニーポットに到着した通信の多くは、Microsoft社のOSで利用されているTCPポートに対する探索行為でした。また、同社のSQL Serverで利用される1433/TCPやWindowsのリモートログイン機能である、RDPで利用される3389/TCP、SSHで利用される22/TCP、HTTPで利用される80/TCP、ICMP Echo Request、DNSで利用される53/UDPによる探査行為も観測されています。

期間中、SSHの辞書攻撃の通信も散発的に発生しており、例えば11月6日から11月7日にかけて発生している通信は、中国に割り当てられたIPアドレスからのものです。また9月中旬以降に発生していたDNS Open Resolverの探査行為と思われる通信は継続しており、10月、12月に発生しています(※39)。今回の期間においては、中国と共にオランダ、米国に割り当てられたIPアドレスからも同種の探査の通信を大量に観測しています。1433/TCPについては、通常の倍程度の通信が到着していますが、その多くは中国に割り当てられたIPアドレスからのものでした。どちらも非常に広範囲のIPアドレスに対して通信が行われており、攻撃対象もしくは攻撃の踏み台として悪用することのできる対象を探す試みが、継続していることがうかがえます。また、米国に割り当てられたIPアドレスから135/TCP宛てのRPCサーバの探査行為の通信も継続しており、10月上旬から中旬にかけてと11月に大規模に観測されています。

ネットワーク上でのマルウェアの活動

図-7 検体取得元の分布(国別分類、全期間、Confickerを除く)

図-7 検体取得元の分布(国別分類、全期間、Confickerを除く)

同じ期間中でのマルウェアの検体取得元の分布を図-7に、マルウェアの総取得検体数の推移を図-8に、そのうちのユニーク検体数の推移を図-9にそれぞれ示します。このうち図-8と図-9では、1日あたりに取得した検体(※40)の総数を総取得検体数、検体の種類をハッシュ値(※41)で分類したものをユニーク検体数としています。

図-8 総取得検体数の推移(Confickerを除く)

図-8 総取得検体数の推移(Confickerを除く)

図-9 ユニーク検体数の推移(Confickerを除く)

図-9 ユニーク検体数の推移(Confickerを除く)

また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-8と図-9は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行い、Confickerと認められたデータを除いて集計しています。

期間中での1日あたりの平均値は、総取得検体数が108、ユニーク検体数が20でした。未検出の検体をより詳しく調査した結果、米国など、複数の国に割り当てられたIPアドレスからワーム(※42)が観測されたほか、フィリピンに割り当てられたIPアドレスからIRCサーバで制御されるタイプのボット(※43)も継続的に観測されました。また今回の期間では未検出の検体の約3分の2がテキスト形式でした(前回は約3割)。これらのテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCがマルウェアをダウンロードしに行くダウンロード先のサイトがすでに閉鎖させられていると考えられます。

MITFの独自の解析では、今回の調査期間中に取得した検体は、ワーム型89.2%、ボット型4.4%、ダウンローダ型6.4%でした。また解析により、16個のボットネットC&Cサーバ(※44)と6個のマルウェア配布サイトの存在を確認しました。

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が36,340、ユニーク検体数は756でした。短期間での増減を繰り返しながらも、総取得検体数で99.7%、ユニーク検体数で97.3%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。

本レポート期間中の総取得検体数は前号の対象期間中と比較し、約6%増加しています。また、ユニーク検体数は前号から約4%減少しました。Conficker Working Groupの観測記録(※45)によると、2013年12月31日現在で、ユニークIPアドレスの総数は1,267,162とされています。2011年11月の約320万台と比較すると、約40%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。

1.3.3 SQLインジェクション攻撃

図-10 SQLインジェクション攻撃の発信元の分布)

図-10 SQLインジェクション攻撃の発信元の分布

IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※46)について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。

2013年10月から12月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-10に、攻撃の推移を図-11にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。

図-11 SQLインジェクション攻撃の推移(日別、攻撃種類別)

図-11 SQLインジェクション攻撃の推移(日別、攻撃種類別)

発信元の分布では、日本46.4%、米国20.8%、中国9.9%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は前回からあまり変化していません。

この期間中、11月7日に韓国の複数の攻撃元より特定の攻撃先に対する大規模な攻撃が発生しています。10月1日には香港や米国など複数の国の攻撃元より特定の攻撃先に対する攻撃が発生していました。10月9日には米国やドイツなど複数の国の攻撃元から特定の攻撃先への攻撃が発生していました。11月21日には国内の特定の攻撃元より特定の攻撃先への攻撃、米国の特定の攻撃元から特定の攻撃先への攻撃が発生しています。12月21日には国内の複数の攻撃元より、特定の攻撃先への攻撃が発生していました。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

  • (※31)攻撃対象に対し、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
  • (※32)TCP SYN floodやTCP connection flood、HTTP GET flood攻撃等。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリ等を無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GET flood攻撃は、Webサーバに対しTCP接続を確立したのち、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
  • (※33)発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
  • (※34)ボットとは、感染後に外部のC&Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
  • (※35)IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。「1.3.2 マルウェアの活動」も参照。
  • (※36)この観測手法については、本レポートのVol.8(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdfPDF)の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
  • (※37)Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
  • (※38)脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
  • (※39)例えば、10月8日に観測された通信は、CNotesの「DNS amp - source address 2」(http://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=DNS+amp+-+source+address+2blank)で報告されている内容と同じ送信元からのスキャンであったことを確認している。
  • (※40)ここでは、ハニーポットなどで取得したマルウェアを指す。
  • (※41)様々な入力に対して一定長の出力をする一方向性関数(ハッシュ関数)を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
  • (※42)WORM_ATAK(http://about-threats.trendmicro.com/archiveMalware.aspx?language=jp&name=WORM_ATAK.Dblank)。
  • (※43)BKDR_QAKBOT(http://about-threats.trendmicro.com/malware.aspx?language=en&name=BKDR_QAKBOTblank)。
  • (※44)Command & Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
  • (※45)Conficker Working Groupの観測記録(http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTrackingblank)。
  • (※46)Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る