ページの先頭です
現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、状況により多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。
図-2に、2014年4月から6月の期間にIIJ DDoS対策サービスで取り扱ったDDoS攻撃の状況を示します。
ここでは、IIJ DDoS対策サービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、正確な攻撃の実態を把握することが困難なため、この集計からは除外しています。
DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※31)、サーバに対する攻撃(※32)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。この3ヵ月間でIIJは、388件のDDoS攻撃に対処しました。1日あたりの対処件数は4.3件で、平均発生件数は前回のレポート期間と比べて減少しました。DDoS攻撃全体に占める割合は、サーバに対する攻撃が78.6%、複合攻撃が16.2%、回線容量に対する攻撃が5.2%でした。
今回の対象期間に観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大9,000ppsのパケットによって72.9Mbpsの通信量を発生させる攻撃でした。攻撃の継続時間は、全体の94.8%が攻撃開始から30分未満で終了し、5.2%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃はありませんでした。なお、今回最も長く継続した攻撃は、サーバに対する攻撃に分類されるもので15時間57分にわたりました。このように、今回の対象期間では、前回と比べて攻撃の回数と量に大幅な減少がみられています。しかしながら、世界的に話題となっているように、DNSやNTPを悪用したDrDoS攻撃は散発的に発生しており、引き続き注意が必要な状況です。
攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※33)の利用や、DDoS攻撃を行うための手法としてのボットネット(※34)の利用によるものと考えられます。
次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※35)によるDDoS攻撃のbackscatter観測結果を示します(※36)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。
2014年4月から6月の期間中に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。
観測されたDDoS攻撃の対象ポートのうち最も多かったものはWebサービスで利用される80/TCPで、対象期間における全パケット数の22.6%を占めています。またDNSに利用される53/UDP、53/TCP、SSHで利用される22/TCPなどへの攻撃、通常は利用されない3477/TCPや5000/TCPなどへの攻撃が観測されています。前回に引き続き観測されているDNS(53/UDP)のbackscatterは、増減を繰り返しながら1日平均約1,500パケットで推移しており、今後もDNSサーバに対するDDoS攻撃やDNSキャッシュポイズニング攻撃などへの注意が必要です。
図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、米国の17.3%が最も大きな割合を占めています。その後にカナダの9.0%、中国の8.3%といった国が続いています。
特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP)への攻撃としては、4月15日には米国で主に日本向けサービスを提供しているホスティング事業者、4月16日にはロシアのホスティング事業者、6月30日には米国のCDN事業者のサーバに対する攻撃をそれぞれ観測しています。4月6日から8日にかけて3477/TCPへの攻撃が観測されましたが、backscatterの発信元IPアドレスがプライベートアドレスのため、攻撃対象は不明です。4月23日にカナダのホスティング事業者に対するDNS(53/TCP)への攻撃が、6月21日には同事業者に対する5000/TCPと5001/TCP、6005/TCPへの攻撃が、6月23日にはSSH(22/TCP)への攻撃が観測されています。5月15日にロシアにある特定のサーバに対する様々なTCPポートへの攻撃を観測しています。
また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、4月初めに複数のニュースサイトが報じた米国カンザス州のオンライン試験サイトに対するDDoS攻撃を検知しています。この攻撃は、報道の後も断続的に続いている様子が観測されています。他に、5月1日には米国のUltraDNSへの攻撃、5月21日にはカナダの大規模SNSサイトへの攻撃、6月11日にEvernoteへの攻撃をそれぞれ検知しています。
ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※37)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※38)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。
2014年4月から6月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に、その総量(到着パケット数)の推移を図-6に、それぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。
ハニーポットに到着した通信の多くは、Microsoft社のOSで利用されているTCPポートに対する探索行為でした。また、同社のSQLServerで利用される1433/TCPやWindowsのリモートログイン機能である、RDPで利用される3389/TCP、ICMP Echo Request、SSHで利用される22/TCP、DNSで利用される53/UDP、Telnetで利用される23/TCPによる探査行為も観測されています。
期間中、SSHの辞書攻撃の通信も散発的に発生しており、例えば4月12日に中国、5月4日にタイと中国、6月1日に中国にそれぞれ割り当てられたIPアドレスから行われていました。4月3日、4日のICMP Echo Requestは、中国に割り当てられている500以上のIPアドレス群から単一のIPアドレスに対して通信が行われたものを検知しています。4月12日、5月17日には、イランに割り当てられたIPアドレスから、特定のハニーポットのIPアドレスに対して3395/UDPに対する通信が行われています。この通信の調査を行ったところ、長さは数十から数百バイトのランダムなデータが送信されていました。
同じ期間中でのマルウェアの検体取得元の分布を図-7に、マルウェアの総取得検体数の推移を図-8に、そのうちのユニーク検体数の推移を図-9にそれぞれ示します。このうち図-8と図-9では、1日あたりに取得した検体(※39)の総数を総取得検体数、検体の種類をハッシュ値(※40)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-8と図-9は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行い、Confickerと認められたデータを除いて集計しています。
期間中での1日あたりの平均値は、総取得検体数が121、ユニーク検体数が22でした。未検出の検体をより詳しく調査した結果、米国、中国、インドなど、複数の国に割り当てられたIPアドレスからワーム(※41)が観測されました。また、未検出の検体の約54%がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたパソコンが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型94.8%、ボット型1.0%、ダウンローダ型4.2%でした。また解析により、7個のボットネットC&Cサーバ(※42)と123個のマルウェア配布サイトの存在を確認しました。マルウェア配布サイトの数が増加していますが、これは検体の1つがDGAを使用していたためです。
本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が31,955、ユニーク検体数は718でした。短期間での増減を繰り返しながらも、総取得検体数で99.6%、ユニーク検体数で96.9%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前号の対象期間中と比較し、約11%減少しています。また、ユニーク検体数は前号から約9%減少しました。Conficker Working Groupの観測記録(※43)によると、2014年6月30日現在で、ユニークIPアドレスの総数は1,020,045とされています。2011年11月の約320万台と比較すると、約32%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。
IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※44)について継続して調査を行っています。SQLインジェクション攻撃は、過去にも度々流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。
2014年4月から6月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-10に、攻撃の推移を図-11にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。
発信元の分布では、米国35.3%、中国24.6%、日本13.1%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は、前回に比べてやや減少しました。
この期間中、5月7日には、欧州の複数の攻撃元より特定の攻撃先への攻撃が発生していました。5月12日には、中国の複数の攻撃元より特定の攻撃先に対する攻撃が発生していました。5月25日には、欧州や中国の複数の攻撃元より特定の攻撃先に対する攻撃が発生しています。5月30日には、欧米の複数の攻撃元から特定の攻撃先に対する攻撃と、中国の特定の攻撃元より別の特定の攻撃先に対する攻撃が発生していました。6月27日には、韓国と中国の特定の攻撃元より特定の攻撃先に対する大規模な攻撃が発生しています。これらの攻撃は、Webサーバの脆弱性を探る試みであったと考えられます。
ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。
MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※45)。このWebクローラは、国内の著名サイトや人気サイトなどを中心とした数万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。
※ 調査対象は日本国内の数万サイト。近年のドライブバイダウンロードは、クライアントのシステム環境やセッション情報、送信元アドレスの属性、攻撃回数などのノルマ達成状況などによって攻撃内容や攻撃の有無が変わるよう設定されているため、試行環境や状況によって大きく異なる結果が得られる場合がある。
※ 6月26日~6月30日はWebクローラを停止していたため、攻撃を検知していない。
2014年4月から6月の期間に観測されたドライブバイダウンロードは、Angler及びNuclearによる攻撃が多くを占めています(図-12)。いずれもJavaやFlashなどのプラグインの脆弱性を悪用する機能を備えていますが、特にAnglerは、Silverlightの脆弱性(CVE-2013-0074/CVE-2013-3896)も対象としている点が特徴的です。
小規模な攻撃として、Exploit Kitを使わず、redirector上のJavaScriptでLocation要素を用いて直接マルウェア(exe)を実行させようとする攻撃が数件観測されました。このような誘導では、ブラウザが実行の要否を確認するダイアログを表示させるため、厳密にはドライブバイダウンロードとは言えません。しかし、ユーザが不用意に実行を許可すると、マルウェアが実行されてしまいます。また、改ざんされ誘導元として利用されているWebサイトについて、最初に改ざんを観測してから、6週間以上断続的に同じ状態が継続するサイトが複数見受けられました。
全体として、ドライブバイダウンロードの発生率は減少傾向が継続しているものと推測される状況です。ただし、このような傾向は攻撃者の意図によって急変する可能性があるので、Webサイト運営者、訪問者共に、引き続き注意が必要です。
ページの終わりです