ページの先頭です


ページ内移動用のリンクです

  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.23
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.23
2014年5月28日
RSS

目次

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、状況により多岐にわたります。しかし、攻撃の多くは、脆弱性等の高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

直接観測による状況

図-2に、2014年1月から3月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、正確な攻撃の実態を把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※31)、サーバに対する攻撃(※32)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。

この3ヵ月間でIIJは、495件のDDoS攻撃に対処しました。1日あたりの対処件数は5.5件で、平均発生件数は前回のレポート期間と比べてほとんど変わりません。DDoS攻撃全体に占める割合は、サーバに対する攻撃が61%、複合攻撃が20.8%、回線容量に対する攻撃が18.2%でした。

今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大60万1千ppsのパケットによって2.86Gbpsの通信量を発生させる攻撃でした。

攻撃の継続時間は、全体の90.5%が攻撃開始から30分未満で終了し、9.5%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃はありませんでした。なお、今回もっとも長く継続した攻撃は、サーバに対する攻撃に分類されるもので10時間55分にわたりました。また、この期間中に話題となったNTPによる攻撃では、最大で51万7千ppsのパケットによって1.8Gbpsの通信量を発生させる攻撃が発生しています。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※33)の利用や、DDoS攻撃を行うための手法としてのボットネット(※34)の利用によるものと考えられます。

図-2 DDoS攻撃の発生件数

backscatterによる観測

図-3 backscatter観測によるDDoS攻撃対象の分布(国別分布、全期間)

次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※35)によるDDoS攻撃のbackscatter観測結果を示します(※36)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。

2014年1月から3月の期間中に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。

図-4 DDoS攻撃によるbackscatter観測(観測パケット数、ポート別推移)

観測されたDDoS攻撃の対象ポートのうち最も多かったものはWebサービスで利用される80/TCPで、対象期間における全パケット数の33.1%を占めています。またDNSに利用される53/UDP、リモートデスクトップで利用される3389/TCPやSSHで利用される22/TCPなどへの攻撃、通常は利用されない8010/TCPや8000/TCPなどの攻撃が観測されています。

図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、米国の15.2%が最も大きな割合を占めていました。その後にチリの9.6%、ドイツの9.0%といった国が続いています。前回に引き続きチリのIPアドレスを多く観測していますが、これは複数のIPアドレスから複数のハニーポットの445/TCPに対するパケットを当期間中、合計で7万2千回以上観測したためです。

特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP)への攻撃としては、1月2日から4日にかけて米国のホスティング事業者、2月18日にはドイツのホスティング事業者、また、2月23日から24日にかけて香港のホスティング事業者がベリーズ国内に持つIPアドレスに対する攻撃をそれぞれ観測しています。1月23日には中国国内のサーバに対する8400/TCPへの攻撃が、3月24日にはドイツにあるロシア語サイトに対する8000/TCPへの攻撃が、また、3月26日から27日にかけて英領バージン諸島のISPが持つIPアドレスに対する8010/TCPへの攻撃が観測されています。

今回の期間では、2月4日からDNS(53/UDP)のbackscatterが増加傾向にあります。そのほとんどは、多数のIPアドレスに、ランダムな文字列を含むドメイン名を問い合わせた結果と考えられるパケットでした。これらのパケットと直接に関連するかどうかは不明ですが、4月15日にJPRSからキャッシュポイズニング攻撃の危険性増加に対して注意喚起が発せられています(※37)。DNSサーバの設定を再確認すると共に、今後の動向に注意していく必要があります。

また、1月4日にオンラインゲーム関連のサーバに対する攻撃を観測しましたが、これは複数のゲーム関連や技術関連のニュースサイトで報じられた攻撃の一部でした。

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※38)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※39)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

無作為通信の状況

図-5 発信元の分布(国別分類、全期間)

2014年1月から3月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に、その総量(到着パケット数)の推移を図-6に、それぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。

図-6 ハニーポットに到着した通信の推移(日別・宛先ポート別・1台あたり)

ハニーポットに到着した通信の多くは、Microsoft社のOSで利用されているTCPポートに対する探索行為でした。また、同社のSQL Serverで利用される1433/TCPやWindowsのリモートログイン機能である、RDPで利用される3389/TCP、SSHで利用される22/TCP、HTTPで利用される80/TCP、ICMP Echo Request、DNSで利用される53/UDP、Telnetで利用される23/TCPによる探査行為も観測されています。

期間中、SSHの辞書攻撃の通信も散発的に発生しており、例えば3月20日に発生している通信はシンガポールと韓国、3月24日から3月25日にかけて発生している通信は、イタリアに割り当てられたIPアドレスからのものです。また、1月中旬から2月にかけて、SSHの通信が前回の期間中に比べて増加しています。これは主に中国に割り当てられたIPアドレスからの通信が増加したためです。

1月19日から1月21日にかけて、DNSの通信が増加しています。通信内容を確認したところ、オランダに割り当てられたIPアドレスが28ドメインに対し、ANYレコードの問い合わせを繰り返し試行していました。詳細に調査したところ、28のドメインはいずれも応答として比較的大きなサイズの応答をしていることから、攻撃者がこのオランダのIPアドレスを詐称して問い合わせを繰り返すことで、そのIPアドレスに対するDNSAmp攻撃の試行をしていたとIIJでは考えています(※40)

また、2月5日にベトナム、2月12日、2月27日、3月4日に中国に割り当てられた1つのIPアドレスから、広範囲に繰り返し探査行為が行われています。対象となるポートは1000から9999までのTCPと一部のUDPでした。

組み込み機器(NAS、DVR)に対する探査と攻撃

期間中、2月中旬以降から5000/TCPに対する探査行為が増加し始め、3月に大幅に増加しました。ハニーポットに到着した5000/TCP通信の送信元IPアドレスの総量(到着パケット数)の推移(ハニーポット1台あたりの平均値)を図-7に示します。

図-7 ハニーポットに到着した5000/TCPの通信の発信元IPアドレスの国別推移(ハニーポット1台あたりの平均値)

これは、Synology社のNASやHikvision社のDVR(Digital Video Recorder)製品への脆弱性の探査もしくは攻撃であると考えています。この製品に対する任意のコード実行が可能な脆弱性が2013年に発見されており、Exploitも既に公開されています。警察庁やSANS ISCもブログで同様の事象と思われる内容を複数回に渡って報告(※41)しており、攻撃を受けたと思われる製品からこの製品には本来存在しないマルウェアと思われるプログラムが検出されたと報告しています。

ネットワーク上でのマルウェアの活動

図-8 総取得検体数の分布

同じ期間中でのマルウェアの検体取得元の分布を図-8に、マルウェアの総取得検体数の推移を図-9に、そのうちのユニーク検体数の推移を図-10にそれぞれ示します。このうち図-9と図-10では、1日あたりに取得した検体(※42)の総数を総取得検体数、検体の種類をハッシュ値(※43)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-9と図-10は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行いConfickerと認められたデータを除いて集計しています。

図-9 総取得検体数の推移(Confickerを除く)

図-10 ユニーク検体数の推移(Confickerを除く)

期間中での1日あたりの平均値は、総取得検体数が114、ユニーク検体数が21でした。1月25日と3月17日にotherが増加しています。これらは、それぞれブラジルと台湾に割り当てられたIPアドレスからのAllaple(※44)ファミリが増加したことによります。Allapleはポリモーフィックマルウェアであることが知られており、図-10により顕著に表れていることが確認できます。

未検出の検体をより詳しく調査した結果、インドなど、複数の国に割り当てられたIPアドレスからワーム(※45)が観測されました。また、未検出の検体の約71%がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。

MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型92.4%、ボット型4.6%、ダウンローダ型3.0%でした。また解析により、16個のボットネットC&Cサーバ(※46)と7個のマルウェア配布サイトの存在を確認しました。

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が35,739、ユニーク検体数は787でした。短期間での増減を繰り返しながらも、総取得検体数で99.7%、ユニーク検体数で97.3%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。

本レポート期間中の総取得検体数は前号の対象期間中と比較し、約2%減少しています。また、ユニーク検体数は前号から約4%増加しました。Conficker Working Groupの観測記録(※47)によると、2014年3月31日現在で、ユニークIPアドレスの総数は1,277,911とされています。2011年11月の約320万台と比較すると、約40%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。

1.3.3 SQLインジェクション攻撃

図-11 SQLインジェクション攻撃の発信元の分布

IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※48)について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。

2014年1月から3月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-11に、攻撃の推移を図-12にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。

図-12 SQLインジェクション攻撃の推移(日別、攻撃種類別)

発信元の分布では、中国65.4%、日本20.8%、米国7.4%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は前回に比べて大幅な増加が見られましたが、これはこの期間中、中国からの大規模な攻撃が複数発生したためで、これを除いた検知傾向はそれほど変化していません。

この期間中、2月25日には、中国の特定の攻撃元より特定の攻撃先への攻撃が発生していました。3月13日から15日にかけては、別の中国の複数の攻撃元より別の特定の攻撃先に対する攻撃が発生していました。この攻撃は3月19日から21日にかけても、中国の同じ特定の攻撃元を含む複数の攻撃元より同じ特定の攻撃先に対する攻撃が発生しています。3月25日から27日にかけては、別の中国の特定の攻撃元より別の特定の攻撃先に対する大規模な攻撃が発生しています。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

1.3.4 Webサイト改ざん

ここでは、MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※49)(図-13)。このWebクローラは、国内の著名サイトや人気サイトなどを中心とした数万のWebサイトを日次で巡回しており、更に、巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなども観測対象に加えています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。

図-13 Webサイト閲覧時のドライブバイダウンロード発生率(%)(Exploit Kit別)

※ 調査対象は日本国内の数万サイト。
近年のExploit Kitでは、クライアントのシステム環境やセッション情報、送信元アドレスの属性、攻撃回数などのノルマ達成状況などによって攻撃内容や攻撃の有無が変わるよう設定されているため、試行環境やクロールタイミングなどの状況によって異なる結果が得られる場合がある。

※ 2月15日及び16日はWebクローラを停止していたため、攻撃を検知していない。

2014年1月から2月の中旬ごろまでは、Sweet Orange Exploit Kit及びRamayana Exploit Pack( 別名DatkaChefまたはDotCacheF Exploit Kit)による攻撃が多くを占めていました。これは、昨年末から続いている傾向で、改ざんされ攻撃に悪用されているのも、中小企業やネットショップなど、比較的小規模なWebサイトが多くを占めていました。これらの攻撃は、Exploit Kitの傾向から、主に古いバージョンのJREの脆弱性などを攻撃対象にしているものと考えられます。

一方、2月後半以降は、攻撃の総数が激減し、Sweet Orange Exploit Kitを用いた攻撃はまったく観測されなくなりました。代わりに、Infinity Exploit Kit(別名Red Kit v2またはGoon Exploit Kit)による攻撃が増加しており、2月20日に公開され、当時パッチが未公開であったMicrosoftInternet Explorerの脆弱性(CVE-2014-0322)を悪用する攻撃が観測されました。この時期は、比較的知名度の高い大手企業のWebサイトの改ざんが複数発生しており、それらのほとんどのケースで前述のInternet Explorerの脆弱性を悪用する攻撃が行われていました。

3月下旬には、攻撃はほぼ収束傾向となり、国内でのドライブバイダウンロード攻撃が減少傾向にあるものと推測される状況となっています。ただし、このような傾向は攻撃者の意図によって急変する可能性があるので、Webサイト運営者、訪問者共に、引き続き注意が必要です。

  • (※31)攻撃対象に、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
  • (※32)TCP SYN floodやTCP connection flood、HTTP GET flood攻撃など。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリなどを無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GET flood攻撃は、Webサーバに対しTCP接続を確立した後、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
  • (※33)発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
  • (※34)ボットとは、感染後に外部のC&Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
  • (※35)IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。「1.3.2 マルウェアの活動」も参照。
  • (※36)この観測手法については、本レポートのVol.8(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdfPDF)の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
  • (※37)JPRS、「(緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)」(http://jprs.jp/tech/security/2014-04-15- portrandomization.htmlblank)。
  • (※38)Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
  • (※39)脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
  • (※40)ハニーポットはDNSの問い合わせを拒否するため、当該IPアドレスには増幅された応答は届いてはいない。
  • (※41)警察庁の発表は以下のとおり。「脆弱性が存在するNASの探索と考えられる宛先ポート5000/TCPに対するアクセスの急増について(http://www.npa.go.jp/cyberpolice/detect/pdf/20140305.pdfPDF)」。SANS ISCでは、次の4つのブログエントリで本事象に関するハニーポットのデータやマルウェアの調査結果を報告している。"TCP/5000 - The OTHER UPNP Port"(https://isc.sans.edu/diary/TCP5000+-+The+OTHER+UPNP+Port/17763blank)。"Port 5000 traffic and snort signature"(https://isc.sans.edu/diary/Port+5000+traffic+and+snort+signature/17771blank)。"Let's Finally "Nail" This Port 5000 Traffic - Synology owners needed."(https://isc.sans.edu/diary/Let%27s+Finally+%22Nail%22+This+Port+5000+Traffic+-+Synology+owners+needed./17859blank)。"More Device Malware: This is why your DVR attacked my Synology Disk Station (and now with Bitcoin Miner!)"(https://isc.sans.edu/diary/More+Device+Malware%3A+This+is+why+your+DVR+attacked+my+Synology+Disk+Station+%28and+now+with+Bitcoin+Miner!%29/17879blank)。
  • (※42)ここでは、ハニーポットなどで取得したマルウェアを指す。
  • (※43)様々な入力に対して一定長の出力をする一方向性関数(ハッシュ関数)を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
  • (※44)Win32/Allaple(http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Win32%2fAllapleblank)。
  • (※45)WORM_ATAK(http://about-threats.trendmicro.com/archiveMalware.aspx?language=jp&name=WORM_ATAK.Dblank)。
  • (※46)Command&Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
  • (※47)Conficker Working Groupの観測記録(http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTrackingblank)。
  • (※48)Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
  • (※49)Webクローラによる観測手法については本レポートのVol.22(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol22.pdfPDF)の「1.4.3 WebクローラによるWebサイト改ざん調査」で仕組みを紹介している。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る