ページの先頭です
現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。
図-2に、2014年10月から12月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。
ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。
DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※23)、サーバに対する攻撃(※24)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。
この3ヵ月間でIIJは、381件のDDoS攻撃に対処しました。1日あたりの対処件数は4.14件で、平均発生件数は前回のレポート期間と比べて増加しました。DDoS攻撃全体に占める割合は、サーバに対する攻撃が54.6%、複合攻撃が26.9%、回線容量に対する攻撃が18.6%でした。今回の対象期間に観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大43万2千ppsのパケットによって3.1Gbpsの通信量を発生させる攻撃でした。
攻撃の継続時間は、全体の90.8%が攻撃開始から30分未満で終了し、9.2%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃はありませんでした。なお、今回最も長く継続した攻撃は、複合攻撃に分類されるもので6時間28分にわたりました。
攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※25)の利用や、DDoS攻撃を行うための手法としてのボットネット(※26)の利用によるものと考えられます。
次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※27)によるDDoS攻撃のbackscatter観測結果を示します(※28)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。
2014年10月から12月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。
観測されたDDoS攻撃の対象ポートのうち最も多かったものはWebサービスで利用される80/TCPで、対象期間における全パケット数の35.1%を占めています。次いでDNSで利用される53/UDPが22.8%を占めており、上位2つで全体の57.9%に達しています。また、IRC(Internet Relay Chat)で利用される6667/TCPやHTTPSで利用される443/TCPへの攻撃、通常は利用されない0/TCPや34000/TCP、25565/TCPなどへの攻撃が観測されています。
2014年2月から多く観測されている53/UDPは、今回はポート別観測パケット数で2番目の位置にありますが、1日平均は前回の約3,100パケットから増加して約3,900パケットになっています。
図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、フランスの20.7%が最も大きな割合を占めています。その後は、米国の15.7%、中国の12.7%といった国が続いています。
特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP)への攻撃としては、10月16日から11月23日にかけてポルトガルのニュースサイト、11月17日から20日にかけてドイツのゲーム関連サイト、10月14日から18日にかけてスペイン語ニュースサイトに対する攻撃をそれぞれ観測しています。10月6日から7日、及び21日には0/TCPへの攻撃を多く観測していますが、広範囲のIPアドレスからのbackscatterを多数のハニーポットで受信しており、攻撃の意図は不明です。他に、10月23日から継続して、フランスのIRCサーバに対する80/TCP、6667/TCP、34000/TCPなどへの攻撃が観測されています。
また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、10月22日に米国アリゾナ州フェニックス市当局サイトへの攻撃、10月26日にはウクライナの選挙管理委員会への攻撃、11月29日にはフランスの政党サイトへの攻撃をそれぞれ検知しています。
ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※29)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※30)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。
2014年10月から12月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に、その総量(到着パケット数)の推移を図-6に、それぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。
ハニーポットに到着した通信の多くは、Microsoft社のOSで利用されているTCPポートに対する探索行為でした。また、同社のSQL Serverで利用される1433/TCP、SSHで利用される22/TCP、DNSで利用される53/UDP、Telnetで利用される23/TCP、HTTP Proxyで用いられる8080/TCPに対する探査行為も観測されています。期間中、11月下旬から12月上旬にかけて、UPnPのSSDPに使われる1900/UDPの通信が増加しています。これらのパケットでは、短時間にm-searchリクエストが繰り返し行われていました。これは、発信元を偽装したSSDPリフレクション攻撃(DDoS攻撃の一種)を試みたものであると考えられ、発信元はその標的であったと考えられます(※31)。なお、本件に関しては警察庁が10月に注意喚起を行っています(※32)。
11月以降telnet(23/TCP)への通信が増加しています。調査したところ、中国及び日本に割り当てられたIPアドレスから主に受信しています。12月5日より、8080/TCPへの通信が増加しています。これは、QNAP製NAS製品などへのShellshockの脆弱性をついた攻撃であると考えています(※33)。12月13日に53/UDPの通信が大量に発生しています。これらのパケットのほとんどはDNS Amp攻撃の試みを受信したためです(※34)。主にドイツの通信会社に割り当てられたIPアドレスが発信元に偽装されていたことから、このIPアドレスが標的になっていた可能性があります。問い合わせ内容は実在するドメインのAレコードの解決要求でしたが、そのFQDNには約250ものAレコードが設定されていました。これにより、送信元を偽装してこの多くのAレコードが設定されたドメインを名前解決することで、応答が増幅されて返るため、結果としてDNS Amp攻撃になります。10月15日に中国に割り当てられた1つのIPアドレスから、特定のハニーポットのIPアドレスに対して2601/UDPに対する通信が行われています。この通信の調査を行ったところ、長さは50バイトから800バイト前後のランダムなデータが短時間に繰り返し送信されていましたが、その意図は不明です。
同じ期間中でのマルウェアの検体取得元の分布を図-7に、マルウェアの総取得検体数の推移を図-8に、そのうちのユニーク検体数の推移を図-9にそれぞれ示します。このうち図-8と図-9では、1日あたりに取得した検体(※35)の総数を総取得検体数、検体の種類をハッシュ値(※36)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-8と図-9は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行いConfickerと認められたデータを除いて集計しています。
期間中の1日あたりの平均値は、総取得検体数が63、ユニーク検体数が17でした。未検出の検体をより詳しく調査した結果、インドや米国、台湾などに割り当てられたIPアドレスでWormなどが観測されました。また、未検出の検体の約54%がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型93.4%、ダウンローダ型6.6%でした。また解析により、106個のボットネットC&Cサーバ(※37)と7個のマルウェア配布サイトの存在を確認しました。ボットネットのC&Cサーバが大幅に増加していますが、これはDGA(ドメイン生成アルゴリズム)を持つ検体が期間中に出現したためです。
本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が16,343、ユニーク検体数は557でした。短期間での増減を繰り返しながらも、総取得検体数で99.6%、ユニーク検体数で97.0%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較し、約36%と大幅に減少しています。また、ユニーク検体数は前号から約17%減少しました。Conficker Working Groupの観測記録(※38)によると、2015年1月13日現在で、ユニークIPアドレスの総数は890,845とされています(※39)。2011年11月の約320万台と比較すると、約28%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。
IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※40)について継続して調査を行っています。SQLインジェクション攻撃は、過去にも度々流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。
2014年10月から12月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-10に、攻撃の推移を図-11にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。
発信元の分布では、日本30.8%、米国13.5%、中国13.4%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は前回に比べて減少しましたが、これは前回期間で中国を発信元とする攻撃が大幅に増加していたことによるもので、全体の検知傾向に変化はありませんでした。
この期間中、10月12日にはフランスの特定の攻撃元より、特定の攻撃先への大規模な攻撃が発生していました。この攻撃先に対する攻撃については、10月10日と10月16日にロシアの特定の攻撃元から、12月18日にインドネシアの特定の攻撃元からの攻撃を確認しています。10月6日には欧米の複数の攻撃元より、特定の攻撃先に対する攻撃が発生しています。10月7日にはチェコの特定の攻撃元より、特定の攻撃先に対する攻撃が発生しています。10月23日にも国内の特定の攻撃元から特定の攻撃先に対する攻撃が発生していました。11月24日には中国の特定の攻撃元から、特定の攻撃先に対する攻撃が発生しました。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。
ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃は継続しているため、引き続き注意が必要な状況です。
MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※41)。このWebクローラは国内の著名サイトや人気サイトなどを中心に数万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。
2014年10月から12月の期間に観測されたドライブバイダウンロードは、7月から9月の期間に比べて約3分の1程度に減少しました(図-12)。特に12月は攻撃を観測しない日が多くなっています。攻撃の内訳は前回から続くAnglarと、今回急伸したFiestaによるものが大勢を占めています。Fiestaは他の多くのExploit Kitと同様にInternet Explorerやそのプラグイン、Flash、Java、Silverlightの脆弱性を悪用する機能を備えています。なお、AnglarやFiestaを含む多くのExploit Kitの最近の傾向として、複数の比較的新しいFlashの脆弱性(CVE-2014-8439、CVE-2014-0515、CVE-2014-0497など)を悪用する機能を速いペースで追加していることが挙げられます(※42)。逆に、従来多く狙われてきたJavaの脆弱性を悪用する機能はあまり見られなくなりました。これは、2014年に、Internet Explorerにバージョンの古いJavaの自動実行を遮断する機能が追加されたことや、ChromeやFirefoxではJavaの自動実行そのものが遮断されたことなど、各種のブラウザ環境において、Java関連のセキュリティ機能が改善されてきたためと考えられます。
改ざんされ誘導元となっているWebサイトは、比較的知名度の低い小規模なWebサイトが多く、個々のサイトが数日から約2ヵ月程度の期間、断続的に誘導元として観測されました。コンテンツの傾向としては、成人向け動画コンテンツの紹介サイトが多くみられ、そのほかにはアイドルグループやデザイン事業者のWebサイトなどが改ざんされていました。
全体として、ドライブバイダウンロードの発生率は急激に減少しているものと推測される状況です。ただし、このような傾向は、攻撃者の意図によって急変する可能性が常にあります。Webサイト運営者はWebコンテンツの改ざん対策、閲覧者側はブラウザや関連プラグインなど(特にFlash Player)の脆弱性対策を徹底し、注意を継続することを推奨します。
ページの終わりです