ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.34
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.34
2017年3月15日
RSS

目次

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

直接観測による状況

図-2に、2016年10月から12月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

図-2 DDoS攻撃の発生件数

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合いが異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※41)、サーバに対する攻撃(※42)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。

この3ヵ月間でIIJは、620件のDDoS攻撃に対処しました。1日あたりの対処件数は6.74件で、平均発生件数は前回のレポート期間と比べて増加しています。DDoS攻撃全体に占める割合は、サーバに対する攻撃が78.39%、複合攻撃が13.23%、回線容量に対する攻撃が8.39%でした。

今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大761万ppsのパケットによって15.25Gbpsの通信量を発生させる攻撃でした。攻撃の継続時間は、全体の90.97%が攻撃開始から30分未満で終了し、9.03%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃は観測されませんでした。なお、今回最も長く継続した攻撃は、複合攻撃に分類されるもので16時間53分にわたりました。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※43)の利用や、DDoS攻撃を行うための手法としてのボットネット(※44)の利用によるものと考えられます。

backscatterによる観測

図-3 DDoS攻撃のbackscatter観測による攻撃先の国別分類

次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※45)によるDDoS攻撃のbackscatter観測結果を示します(※46)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。

2016年10月から12月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。

図-4 DDoS攻撃によるbackscatter観測(観測パケット数、ポート別推移)

観測されたDDoS攻撃の対象ポートのうち最も多かったものはWebサービスで利用される80/TCPで、全パケット数の47.6%を占めています。また、DNSで利用される53/UDP、SSHで利用される22/TCP、HTTPSで利用される443/TCPへの攻撃、通常は利用されない12064/TCP、8000/TCP、46157/TCP、2980/TCPなどへの攻撃が観測されています。

図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、中国の23.8%が最も大きな割合を占めています。その後に米国の17.2%、フランスの10.0%といった国が続いています。

特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP及び443/TCP)への攻撃としては、10月1日には前回期間に引き続き中国にある電気街の公式サイトへの攻撃、11月1日から5日にかけて英国ブックメーカーへの攻撃、11月6日にロシアのホスティング事業者への攻撃、11月6日から7日にかけては特定のロシア語のサイトへの攻撃、11月10日にはジブラルタルのオンラインカジノへの攻撃を観測しています。他のポートへの攻撃としては、10月11日から14日にかけて中国の特定のIPアドレスに対する12064/TCPへの攻撃、10月16日から17日にかけて中国の特定のIPアドレスに対する46157/TCPへの攻撃、11月8日にシンガポールのISPが持つIPアドレスに対する22/TCPへの攻撃、11月22日に中国のCDN事業者のサーバに対する2980/TCPへの攻撃、12月8日にフランスのホスティング事業者のサーバに対する8000/TCPへの攻撃を観測しています。

また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、10月24日にSyrian Cyber Armyを名乗るグループによるベルギーの複数の新聞社サイトへの攻撃、12月22日にSNSサイトTumblrに対する攻撃をそれぞれ検知しています。

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※47)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※48)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

無作為通信の状況

図-5 発信元の分布(国別分類、全期間)

2016年10月から12月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に示します。また総量(到着パケット数)に関して、本レポートの期間中に最も接続回数の多かった23/TCP、3番目に接続回数の多かった1900/UDP、4番目に接続回数の多かった2323/TCPはその他の通信よりも突出して多かったため、それぞれ図-6から図-8に別途記載し、残りの推移を図-9に示します。期間中、MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。

図-6 ハニーポットに到着した23/TCP通信の推移(日別・23/TCP、国別・1台あたり)

図-7 ハニーポットに到着した1900/UDP通信の推移(日別・1900/UDP、国別・1台あたり)

図-8 ハニーポットに到着した2323/TCP通信の推移(日別・2323/TCP、国別・1台あたり)

図-9 ハニーポットに到着した通信の推移(日別・宛先ポート別・1台あたり)

本レポートの期間中にハニーポットに到着した通信の多くは、Telnetで使われる23/TCP、SSDPで使われる1900/UDP、FTPで使われる21/TCP、SSHで使われる22/TCP、Web Proxyで使用される8080/TCP、ICMP Echo Request、Microsoft社のOSで利用されているSQL Serverで利用される1433/TCP、同社のRemote Desktopで使用される3389/TCPなどでした。

前回のレポートに引き続き、Telnetで使われる23/TCP宛ての通信が本レポート期間中でも引き続き高い値を示しており、更に10月後半から11月中旬までと12月中旬以降はより増加しています。これは前回レポートしたとおり、Miraiボット(※49)及びその亜種、Bashlite、KaitenやhajimeなどといったIoT機器のLinuxをターゲットにしたボットの感染が拡がっているためです。この通信は台湾、中国、ベトナム、韓国、ブラジルなどに割り当てられた多数のIPアドレスからの通信でした。また2323/TCP、7547/TCP、23231/TCPなどについてもMiraiボットやその亜種の影響であり、本レポートの期間中、大幅に増加しています。

本レポートの期間中、SSDPプロトコルである1900/UDPが断続的に増加しています。主に米国、リトアニア、ドイツ、フランスなどに割り当てられたIPアドレスからSSDPの探査要求を受けています。これらは、SSDPリフレクターを使ったDDoS攻撃に利用可能な機器を探査する通信であると考えられます。また11月の後半から1900/UDPの通信回数がそれまでの定常時より10倍程度に増加しており、ボットなどによって定常的にスキャン活動が行われるようになった可能性が考えられます。

Miraiボットの通信

Miraiボットは感染活動を行う前に、インターネット上に存在するIoT機器のスキャンを行いますが、そのパケットはTCPのシーケンス番号と宛先IPアドレスが同一であるという特徴を持っていることが、解析結果から分かっています。23/TCPの通信において、この特徴に合致する通信の割合を調査したものが図-10になります。調査したところ、2016年8月1日からこのパターンに合致する通信が出現したことが分かったため、それ以降の通信を示します。23/TCPの約80%がMiraiボット、もしくはそれに準ずるアルゴリズムを持つマルウェアによる通信であることが分かりました。また、図-11は、このアルゴリズムに合致する通信をプロトコル別に並べたものになります。2323/TCPは9月6日、80/TCP及び8080/TCPが11月2日、7547/TCP(※50)が11月26日、5555/TCP(※51)が11月28日、23231/TCP(※52)、37777/TCP(※53)が12月10日、6789/TCPが12月18日、22/TCP(※54)が12月19日、2222/TCPが12月20日にそれぞれ初めて観測されています。ソースコードがリリースされたことも影響しているためか、特に11月以降は活発に開発が行われていることが分かります。

図-10 ハニーポットに到着した23/TCP通信の推移(日別・23/TCP、Miraiボットの割合・1台あたり)

図-11 ハニーポットに到着したMiraiボットと推定される通信の推移(日別・宛先ポート別・1台あたり)

ネットワーク上のマルウェアの活動

図-12 検体取得元の分布(国別分類、全期間、Confickerを除く)

同じ期間中でのマルウェアの検体取得元の分布を図-12に、マルウェアの総取得検体数の推移を図-13に、そのうちのユニーク検体数の推移を図-14にそれぞれ示します。このうち図-13と図-14では、1日あたりに取得した検体(※55)の総数を総取得検体数、検体の種類をハッシュ値(※56)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトウェアで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行いConfickerと認められたデータを除いて集計しています。

図-13 総取得検体数の推移(Confickerを除く)

図-14 ユニーク検体数の推移(Confickerを除く)

期間中の1日あたりの平均値は、総取得検体数が280、ユニーク検体数が21でした。図-13において、12月初旬に未検出の検体が急増していますが、これはMITFハニーポットの改修を行い、5555/TCP及び7547/TCPをスキャンするマルウェアを取得できるようにしたためです。それらのポートから取得した検体は、調査の結果、Miraiボットの亜種であることが分かりました。また、そのほかの未検出の検体をより詳しく調査した結果、ベトナム、インド、米国、中国などに割り当てられたIPアドレスで複数のSDBOTファミリ(IRCボットの一種)やビットコインマイニングツールのダウンローダなどが観測されています。

未検出の検体の約97%がテキスト形式でした。前号より大幅に割合が増加していますが、これはMiraiボット亜種のダウンロード先がほとんど閉鎖されており、Webサーバからのエラーが出力されていたためであるのと、従来通り、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖されているためであると考えられます。MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型5.1%、ボット型78.4%、ダウンローダ型16.5%でした。また解析により、74個のボットネットC&Cサーバ(※57)と87個のマルウェア配布サイトの存在を確認しました。

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が3,961、ユニーク検体数は303でした。総取得検体数で75.8%、ユニーク検体数で93.1%を占めています。総取得権対数の割合が前回のレポート期間中より4分の1程度減少していますが、これはMiraiボットの亜種が取得できるようになったことによるものです。今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較し、約5%減少し、ユニーク検体数は前号から約19%減少しており、本レポート期間中は全体的に緩やかに減少しています。Conficker Working Groupの観測記録(※58)によると、2017年1月現在で、ユニークIPアドレスの総数は45万台とされています。2011年11月の約320万台と比較すると、約14%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。

1.3.3 SQLインジェクション攻撃

IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※59)について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。

図-15 SQLインジェクション攻撃の発信元の分布

2016年10月から12月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-15に、攻撃の推移を図-16にそれぞれ示します。これらは、IIJマネージドIPS/IDSサービスのシグネチャによる攻撃の検出結果をまとめたものです。発信元の分布では、日本24.8%、米国18.1%、ロシア14.9%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の合計値は前回と比べて増加傾向にあります。特に日本とロシアが大幅な増加傾向にあります。

図-16 SQLインジェクション攻撃の推移(日別、攻撃種類別)

この期間中、12月3日に日本の特定の攻撃元から特定の攻撃先に対する攻撃が発生しています。また、ロシアの複数の攻撃元から複数の攻撃先に対する攻撃が連日発生した結果、大幅に攻撃検知件数が増加しました。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

1.3.4 Webサイト改ざん

MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※60)

このWebクローラは国内の著名サイトや人気サイトなどを中心とした数十万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。

2016年10月から12月までの期間は、検知したドライブバイダウンロード攻撃のほぼすべてがRig Exploit Kitでした(図-17)。2016年9月末にNeutrinoが観測されなくなって以降、継続している傾向です(※61)。Rigのペイロードとして、Cerber、Ursnifなどを確認しています。また、10月の上旬にSundownを観測しました。確認したケースではInternet Explorer、Flash、Silverlightの脆弱性を悪用する機能を備えていました。

図-17 Webサイト閲覧時の受動的攻撃発生率(%)(Exploit Kit別)

なお、これらのExploit Kitへの誘導元となっているWebサイトにmacOSクライアントでアクセスした場合は、Landing pageへ誘導されない、あるいはLanding pageが応答を返さないことを確認しています。本期間中、macOSを対象としたドライブバイダウンロード攻撃は観測していません(※62)

PUA(※63)のインストールや偽のサポートセンターへの電話を促す目的で、ブラウザ画面にマルウェア感染などを仄めかす偽のダイアログなどを表示する詐欺サイトへの誘導が継続しています。また、このような詐欺サイトへの誘導では海外のTDS(※64)が利用されているケースが複数確認されました。例えば、ある欧州のTDSについては2016年9月中旬から2017年1月現在まで、複数の種類の詐欺サイトへの誘導に継続して利用されていることを観測しています。業務利用端末などでは、用途を踏まえて、TDSの遮断を検討してもよいかもしれません。なお、TDSや類似するシステムの多くではインフラとして著名なクラウドサービスを利用していることが多いため、IPアドレスベースでの制御は有効に機能しません。ドメインベースでトラフィックを制御する仕組みが必要です。

また、これらの詐欺サイトではダイアログを表示する主体として被害者の利用しているOSメーカーやISPを仄めかすものがあります。IIJのインターネット接続サービスをご利用いただいているお客様の環境では、IIJの名前が表示される場合がありますが、弊社の関与したものではないのでご注意ください(※65)

Rigを用いたドライブバイダウンロード攻撃が継続しています。ブラウザ利用環境ではOS、アプリケーションやプラグインのバージョン管理やEMET導入などの脆弱性対策の徹底しておくことを推奨します(※66)。Webサイト運営者は利用しているWebアプリケーションやフレームワーク、プラグインの脆弱性管理による脆弱性対策に加え、TDSを経由したトラフィック、広告や集計サービスなど外部から提供されるマッシュアップコンテンツの管理が必須です。

  1. (※41)攻撃対象に対し、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
  2. (※42)TCP SYN floodやTCP connection flood、HTTP GET flood攻撃など。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリなどを無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GET flood攻撃は、Webサーバに対しTCP接続を確立した後、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
  3. (※43)発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
  4. (※44)ボットとは、感染後に外部のC&Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
  5. (※45)IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。「1.3.2 マルウェアの活動」も参照。
  6. (※46)この観測手法については、本レポートのVol.8(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdfPDF)の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
  7. (※47)Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
  8. (※48)脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
  9. (※49)Mirai Botnetについては、前回のレポートで詳しく解説している。「Internet Infrastructure Review (IIR) Vol.33 1.4.1 Mirai Botnetの検知と対策」(http://www.iij.ad.jp/dev/report/iir/033.htmlblank)。
  10. (※50)"Port 7547 SOAP Remote Code Execution Attack Against DSL Modems"(https://isc.sans.edu/forums/diary/Port+7547+SOAP+Remote+Code+Execution+Attack+Against+DSL+Modems/21759/blank)。
  11. (※51)5555/TCPのMiraiボット亜種によるスキャンは次のURLで解説されている。"Now Mirai Has DGA Feature Built in"(http://blog.netlab.360.com/new-mirai-variant-with-dga/blank)。
  12. (※52)23231/TCP及び6789/TCPをスキャンするMiraiボット亜種は以下で言及されている。"UPDATED x1: Mirai Scanning for Port 6789 Looking for New Victims / Now hitting tcp/23231"(https://isc.sans.edu/diary/UPDATED%2Bx1%3A%2BMirai%2BScanning%2Bfor%2BPort%2B6789%2BLooking%2Bfor%2BNew%2BVictims%2B%2BNow%2Bhitting%2Btcp23231/21833blank)。
  13. (※53)「JPCERT/CC Alert 2016-12-21 インターネットに接続された機器の管理に関する注意喚起 - インターネットにつながったあらゆる機器が脅威にさらされています -」(https://www.jpcert.or.jp/at/2016/at160050.htmlblank)。
  14. (※54)22/TCP、2222/TCPのスキャンは次のURLで紹介されている。「「Mirai」ボットの亜種等からの感染活動と見られるアクセスの急増について」(https://www.npa.go.jp/cyberpolice/detect/pdf/20170120.pdfPDF)。
  15. (※55)ここでは、ハニーポットなどで取得したマルウェアを指す。
  16. (※56)様々な入力に対して一定長の出力をする一方向性関数(ハッシュ関数)を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
  17. (※57)Command & Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
  18. (※58)Conficker Working Groupの観測記録(http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTrackingblank)。本レポート期間中、数値のデータが2016年1月7日以降表示されていないため、2017年1月前半の最高値をグラフから目視で確認して採用している)。
  19. (※59)Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
  20. (※60)Webクローラによる観測手法については本レポートのVol.22(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol22.pdfPDF)の「1.4.3 WebクローラによるWebサイト改ざん調査」で仕組みを紹介している。
  21. (※61)2016年9月末から10月中旬までのRig Exploit Kitの観測状況については、IIJ-SECT「Rig Exploit Kit 観測数の拡大に関する注意喚起」(https://sect.iij.ad.jp/d/2016/10/178746.htmlblank)で速報している。
  22. (※62)MITF Webクローラシステムでは、Windowsクライアント環境で巡回した際に受動的攻撃の兆候が観測されたWebサイトを対象に、macOSクライアント環境を用いた追加調査(ブラウザによるWebアクセス)を行っている。
  23. (※63)Potentially Unwanted Applicationの略。一般的な業務に不要と思われたり、用途によってはPCユーザやシステム管理者にとって不適切な結果を招く可能性があると考えられたりするアプリケーションの総称。
  24. (※64)Traffic Distribution Systemsの略。Webサイトのトラフィックを売買するシステム。通常、Webサイト所有者がリンクなどの形でトラフィックをTDSベンダーにリダイレクトし報酬を、受け取る。更にTDSベンダーはこのトラフィックを販売し、最高額入札者へリダイレクトする。TDSを悪用したマルウェア拡散についてはシマンテック社のセキュリティレスポンスブログ「Web ベースのマルウェア拡散経路:トラフィック流通システムの概要」(https://www.symantec.com/connect/blogs/web-1blank)で紹介されている。
  25. (※65)このような詐称は繰り返し行われており、IIJ-SECT「ISP情報を表示して偽のサポート窓口へ誘導する詐欺サイトに関する注意喚起」(https://sect.iij.ad.jp/d/2015/12/258504.htmlblank)でも紹介した。
  26. (※66)例えば管理者権限の分離やアプリケーションホワイトリストの適用などが考えられる。詳細は本レポートのVol.31(http://www.iij.ad.jp/dev/report/iir/031.htmlblank)の「1.4.3 マルウェアに感染しないためのWindowsクライアント要塞化」参照。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る