Internet Infrastructure Review（IIR）Vol.22
2014年2月18日

直接観測による状況

図-2に、2013年10月から12月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模（回線容量やサーバの性能）によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃（※31）、サーバに対する攻撃（※32）、複合攻撃（1つの攻撃対象に対し、同時に数種類の攻撃を行うもの）の3種類に分類しています。

この3ヵ月間でIIJは、498件のDDoS攻撃に対処しました。1日あたりの対処件数は5.4件で、平均発生件数は前回のレポート期間と比べて減少しています。DDoS攻撃全体に占める割合は、サーバに対する攻撃が41.6%、複合攻撃が51.8%、回線容量に対する攻撃が6.6%でした。

今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大105万5千ppsのパケットによって2.94Gbpsの通信量を発生させる攻撃でした。

攻撃の継続時間は、全体の89.2%が攻撃開始から30分未満で終了し、10.6%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃も0.2%ありました。なお、今回もっとも長く継続した攻撃は、複合攻撃に分類されるもので3日と8時間51分（80時間51分）にわたりました。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング（※33）の利用や、DDoS攻撃を行うための手法としてのボットネット（※34）の利用によるものと考えられます。

図-2 DDoS攻撃の発生件数

backscatterによる観測

図-4 DDoS攻撃によるbackscatter観測（観測パケット数、ポート別推移）

観測されたDDoS攻撃の対象ポートのうち最も多かったものは、Webサービスで利用される80/TCPで、対象期間における全パケット数の45.8%を占めています。またストリーミング通信で利用される1935/TCPや、SSHで利用されている22/TCPなどへの攻撃、通常は利用されない8000/tcpや8877/TCPなどの攻撃が観測されています。

図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、今回の期間では米国が14.9%が最も大きな割合を占めていました。その後にロシアの10.1%、チリの9.5%といった国が続いています。今回チリからの攻撃を多く観測していますが、これは特定のハニーポットに対して複数のIPアドレスからの445/TCPの攻撃をこの期間中合計で8万5千回以上観測したためとなります。

特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、まず、Webサーバ（80/TCP）への攻撃としては、10月17日にアゼルバイジャンのニュース事業者のWebサーバからのbackscatterを観測しています。この事業者への攻撃は10月23日にも同様に観測されています。10月26日には、ウクライナのISPとルーマニアのホスティング事業者のサーバへの攻撃を観測しています。

今回の期間ではチリからの攻撃を多く観測していますが、これは特定のハニーポットで445/TCPに対する攻撃を観測したためで、複数のIPアドレスからの攻撃が12月11日や12月14日、12月24日に多く観測されています。この通信は期間中、合計で8万5千回以上観測しています。10月2日にはイランのサーバに対するポートスキャンによると考えられる通信を、同じく11月9日にはアルゼンチンのサーバに対する攻撃を観測しています。11月9日や12月9日など複数の日時にドイツのホスティング事業者のサーバに対する8000/TCPへの攻撃を、11月17日と12月6日にはロシアのホスティング事業者のサーバに対する8877/TCPへの攻撃をそれぞれ観測しています。これらのポートは通常のアプリケーションで利用するポートではないため、それぞれの攻撃の意図は不明です。

また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、10月から複数発生したGitHubに対する攻撃、同じく10月に発生したAnonymousによると考えられるInterpol IndonesiaのWebサーバに対する攻撃、11月に発生したAnonymousによると考えられるロシアの政府機関への攻撃、12月に発生した英国の金融機関への攻撃を観測しています。

無作為通信の状況

図-6 ハニーポットに到着した通信の推移（日別・宛先ポート別・1台あたり）

ハニーポットに到着した通信の多くは、Microsoft社のOSで利用されているTCPポートに対する探索行為でした。また、同社のSQL Serverで利用される1433/TCPやWindowsのリモートログイン機能である、RDPで利用される3389/TCP、SSHで利用される22/TCP、HTTPで利用される80/TCP、ICMP Echo Request、DNSで利用される53/UDPによる探査行為も観測されています。

期間中、SSHの辞書攻撃の通信も散発的に発生しており、例えば11月6日から11月7日にかけて発生している通信は、中国に割り当てられたIPアドレスからのものです。また9月中旬以降に発生していたDNS Open Resolverの探査行為と思われる通信は継続しており、10月、12月に発生しています（※39）。今回の期間においては、中国と共にオランダ、米国に割り当てられたIPアドレスからも同種の探査の通信を大量に観測しています。1433/TCPについては、通常の倍程度の通信が到着していますが、その多くは中国に割り当てられたIPアドレスからのものでした。どちらも非常に広範囲のIPアドレスに対して通信が行われており、攻撃対象もしくは攻撃の踏み台として悪用することのできる対象を探す試みが、継続していることがうかがえます。また、米国に割り当てられたIPアドレスから135/TCP宛てのRPCサーバの探査行為の通信も継続しており、10月上旬から中旬にかけてと11月に大規模に観測されています。

ネットワーク上でのマルウェアの活動

図-8 総取得検体数の推移（Confickerを除く）

図-9 ユニーク検体数の推移（Confickerを除く）

また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-8と図-9は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行い、Confickerと認められたデータを除いて集計しています。

期間中での1日あたりの平均値は、総取得検体数が108、ユニーク検体数が20でした。未検出の検体をより詳しく調査した結果、米国など、複数の国に割り当てられたIPアドレスからワーム（※42）が観測されたほか、フィリピンに割り当てられたIPアドレスからIRCサーバで制御されるタイプのボット（※43）も継続的に観測されました。また今回の期間では未検出の検体の約3分の2がテキスト形式でした（前回は約3割）。これらのテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCがマルウェアをダウンロードしに行くダウンロード先のサイトがすでに閉鎖させられていると考えられます。

MITFの独自の解析では、今回の調査期間中に取得した検体は、ワーム型89.2%、ボット型4.4%、ダウンローダ型6.4%でした。また解析により、16個のボットネットC&Cサーバ（※44）と6個のマルウェア配布サイトの存在を確認しました。

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が36,340、ユニーク検体数は756でした。短期間での増減を繰り返しながらも、総取得検体数で99.7%、ユニーク検体数で97.3%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。

本レポート期間中の総取得検体数は前号の対象期間中と比較し、約6%増加しています。また、ユニーク検体数は前号から約4%減少しました。Conficker Working Groupの観測記録（※45）によると、2013年12月31日現在で、ユニークIPアドレスの総数は1,267,162とされています。2011年11月の約320万台と比較すると、約40%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。