1.インフラストラクチャセキュリティ | Internet Infrastructure Review（IIR）Vol.29 | IIJの技術

目次

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

直接観測による状況

図-2に、2015年7月から9月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

図-2 DDoS攻撃の発生件数

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模（回線容量やサーバの性能）によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃（※29）、サーバに対する攻撃（※30）、複合攻撃（1つの攻撃対象に対し、同時に数種類の攻撃を行うもの）の3種類に分類しています。

この3ヵ月間でIIJは、400件のDDoS攻撃に対処しました。1日あたりの対処件数は4.35件で、平均発生件数は前回のレポート期間と比べて増加しました。DDoS攻撃全体に占める割合は、サーバに対する攻撃が59.3％、複合攻撃が34.9％、回線容量に対する攻撃が5.8％でした。今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大28万9千ppsのパケットによって4.5Gbpsの通信量を発生させる攻撃でした。

攻撃の継続時間は、全体の81.5％が攻撃開始から30分未満で終了し、17.8％が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃は0.7％でした。なお、今回最も長く継続した攻撃は、複合攻撃に分類されるもので2日と22時間35分（70時間35分）にわたりました。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング（※31）の利用や、DDoS攻撃を行うための手法としてのボットネット（※32）の利用によるものと考えられます。

backscatterによる観測

図-3 DDoS攻撃のbackscatter観測による攻撃先の国別分類

次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット（※33）によるDDoS攻撃のbackscatter観測結果を示します（※34）。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。

2015年7月から9月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。

観測されたDDoS攻撃の対象ポートのうち、最も多かったものはDNSで利用される53/UDPで、全パケット数の53.2％を占めています。次いでWebサービスで利用される80/TCPが20.6％を占めており、上位2つで全体の73.8％に達しています。また、HTTPSで利用される443/TCP、SSHで利用される22/TCP、ゲームの通信で利用されることがある25565/TCPや27015/UDPへの攻撃、通常は利用されない3306/UDPや51127/TCPなどへの攻撃が観測されています。

図-4 DDoS攻撃によるbackscatter観測（観測パケット数、ポート別推移）

2014年2月から多く観測されている53/UDPは、1日平均のパケット数を見ると約5,800と、前回の約5,600とほぼ変化なく、引き続き高止まりの状態にあります。

図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、中国の21.7％が最も大きな割合を占めています。その後に米国の18.5％、フランスの6.4％といった国が続いています。

特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ（80/TCP及び443/TCP）への攻撃としては、7月1日に米国ホスティング事業者への攻撃、7月13日から17日にかけてカナダのホスティング事業者のサーバ群に対する攻撃、8月7日にはフランスとドイツのゲーム関連サイトへの攻撃、9月4日から10日にかけて米国CDN事業者のサーバ群への攻撃を観測しています。他のポートへの攻撃としては、8月21日から27日にかけてカナダのホスティング事業者のサーバに対する22/TCP、8080/TCP、22/UDPなどへの攻撃、9月5日から11日にかけてフランスのゲームサーバに対する25565/TCPへの攻撃を観測しています。また、9月4日にはラトビアにある特定のサーバに対する様々なポートへの大量の攻撃を観測しています。

また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、7月10日から12日にかけてドイツに本社を置くインスタントメッセージングサービス事業者のサーバ群への攻撃、7月18日にカナダ連邦警察のサイトへの攻撃、8月18日にウクライナの右派団体関連サイトへの攻撃、8月25日にGitHubへの攻撃をそれぞれ検知しています。

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF（※35）による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット（※36）を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

無作為通信の状況

図-5 発信元の分布（国別分類、全期間）

2015年7月から9月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に、その総量（到着パケット数）の推移を図-6に、それぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類（上位10種類）ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。

本レポートの期間中にハニーポットに到着した通信の多くは、UPnPのSSDPプロトコルで使われる1900/UDP、telnetで使われる23/TCP、sshで使われている22/TCP、Microsoft社のOSで利用されている445/TCP、同社のSQL Serverで利用される1433/TCP、Webサーバで使われる80/TCP、443/TCPなどでした。

SSDPプロトコルである1900/UDPが断続的に増加しています。例えば、7月16日から17日にかけては米国、7月23日にはオランダ、9月中旬から下旬にかけては米国、オーストラリア、カナダなどに割り当てられたIPアドレスからSSDPの探査要求を受けています。これらは、SSDPリフレクターを使ったDDoS攻撃に利用可能な機器を探査する通信であると考えられます。

図-6 ハニーポットに到着した通信の推移（日別・宛先ポート別・1台あたり）

ネットワーク上のマルウェアの活動

図-7 検体取得元の分布（国別分類、全期間、Confickerを除く）

同じ期間中でのマルウェアの検体取得元の分布を図-7に、マルウェアの総取得検体数の推移を図-8に、そのうちのユニーク検体数の推移を図-9にそれぞれ示します。このうち、図-8と図-9では、1日あたりに取得した検体（※37）の総数を総取得検体数、検体の種類をハッシュ値（※38）で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-8と図-9は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行い、Confickerと認められたデータを除いて集計しています。

期間中の1日あたりの平均値は、総取得検体数が89、ユニーク検体数が19でした。未検出の検体をより詳しく調査した結果、中国、台湾、オーストリア、米国、タイなどに割り当てられたIPアドレスでWormなどが観測されました。また、台湾においてIRCをC＆Cサーバ（※39）とするBotも観測されています（※40）。

未検出の検体の約53％がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。

MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型84.6％、ボット型6.4％、ダウンローダ型9.0％でした。また解析により、102個のボットネットC＆Cサーバと7個のマルウェア配布サイトの存在を確認しました。ボットネットのC＆Cサーバの数が以前よりも高くなっていますが、これはDGA（ドメイン生成アルゴリズム）を持つ検体が期間中に出現したためです。

図-8 総取得検体数の推移（Confickerを除く）

図-9 ユニーク検体数の推移（Confickerを除く）

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が27,935、ユニーク検体数は543でした。7月に米国からの感染が増加したものの、その後は減少に転じており、短期間での増減を繰り返しながら、総取得検体数で99.5％、ユニーク検体数で98.8％を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較し、約44％増加し、ユニーク検体数は前号から約10％減少しました。総取得権対数の増加は、本レポートの期間中、米国に割り当てられたIPアドレスからの感染活動が増加したためです。Conficker Working Groupの観測記録（※41）によると、2015年10月1日現在で、ユニークIPアドレスの総数は675,680とされています。2011年11月の約320万台と比較すると、約21％に減少したことになりますが、依然として大規模に感染し続けていることが分かります。

1.3.3 SQLインジェクション攻撃

IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃（※42）について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。

図-10 SQLインジェクション攻撃の発信元の分布

2015年7月から9月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-10に、攻撃の推移を図-11にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。発信元の分布では、日本28.2％、米国28.1％、中国20.3％となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は、前回に比べて大幅に増加しました。これは、日本や米国からの攻撃が増加したためです。

この期間中、7月18日には中国とドイツの複数の攻撃元から特定の攻撃先に対する攻撃が発生していました。これとは別の攻撃先に対して、英国やドイツ、トルコ、米国といった比較的広範囲の攻撃元から特定の攻撃先について攻撃が発生していました。7月24日には特定の攻撃元より、複数の特定の攻撃先への攻撃が発生しました。別に、米国とオランダの特定の攻撃元から特定の攻撃先への攻撃も発生しています。8月1日には中国の特定の攻撃元から特定の攻撃先への攻撃が発生しています。これとは別の攻撃先に対して、米国の特定の攻撃元からの攻撃も発生しています。9月17日には中国の特定の攻撃元より、特定の攻撃先への攻撃が発生しています。これらの攻撃は、Webサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

図-11 SQLインジェクション攻撃の推移（日別、攻撃種類別）

1.3.4 Webサイト改ざん

MITFのWebクローラ（クライアントハニーポット）によって調査したWebサイト改ざん状況を示します（※43）。このWebクローラは、国内の著名サイトや人気サイトなどを中心とした数十万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。

2015年7月から9月の期間は、Anglerが猛威を振るいました（図-12）（※44）。ドライブバイダウンロード攻撃の総数は、2015年4月から6月に集計した値に比べて10倍近くになっています。期間を通じて、攻撃の大部分をAnglerが占めていますが、8月下旬には、それまでAnglerを用いていた攻撃主体が、一部でNeutrinoを用いるようになりました。以降は、同じ改ざんWebサイトから、タイミングなどによりAnglerとNeutrinoのいずれかのExploitKitによる攻撃が観測されるようになりました。日ごとにこの両者の比率が変動する様子は、攻撃主体が複数の攻撃ツールを天秤にかけているようにも見えます。

図-12 Webサイト閲覧時のドライブバイダウンロード発生率（％）（Exploit Kit別）

ダウンロードされるマルウェアは、9月初頭まではTeslaCrypt2.0が多くを占めていましたが、以降はCryptoWall3.0が取って代わり、TeslaCrypto2.0は検知されなくなりました。また、AnglerやNeutrinoの一部の攻撃では、BedepやNecursがダウンロードされるケースも観測されました。

なお、9月18日から9月25日にかけて、攻撃の検知数が激減しています。この期間、改ざんされたWebサイトからExploitKitやそのRedirectorへ誘導するリンクが削除されたり、Redirectorから次段のInfectorへの誘導が行われないケースなどが複数確認されました。攻撃主体の意図は不明ですが、その後、検知件数は再び増加傾向になりました。

ドライブバイダウンロードによる攻撃がきわめて多く発生している状況が継続しています。改ざんされたWebサイトだけでなく、Webサイトに掲載している広告コンテンツを経由してInfectorへと誘導される（Malvertising）ケースも多数確認されています（※45）。Webサイト運営者は、Webコンテンツの改ざん対策に加えて、広告や集計サービスなど、外部の第三者から提供されるマッシュアップコンテンツを適切に管理することが求められます。コンテンツ提供者のセキュリティ方針や、その評判などを把握しておくことを推奨します。また、ブラウザ利用環境では、OSやブラウザ関連プラグインの脆弱性をよく確認し、更新の適用やEMETの有効化などの対策を徹底することが重要です。

（※29）攻撃対象に対し、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
（※30）TCP SYN floodやTCP connection flood、HTTP GET flood攻撃など。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリなどを無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GETflood攻撃は、Webサーバに対しTCP接続を確立した後、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
（※31）発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
（※32）ボットとは、感染後に外部のC＆Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
（※33）IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。「1.3.2 マルウェアの活動」も参照。
（※34）この観測手法については、本レポートのVol.8（http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdf）の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
（※35）Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
（※36）脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
（※37）ここでは、ハニーポットなどで取得したマルウェアを指す。
（※38）様々な入力に対して一定長の出力をする一方向性関数（ハッシュ関数）を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
（※39）Command ＆ Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
（※40）WORM_SDBOT.FJK（http://about-threats.trendmicro.com/ArchiveMalware.aspx?language=jp&name=WORM_SDBOT.FJK）。
（※41）Conficker Working Groupの観測記録（http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTracking）。
（※42）Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
（※43）Webクローラによる観測手法については本レポートのVol.22（http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol22.pdf）の「1.4.3 WebクローラによるWebサイト改ざん調査」で仕組みを紹介している。
（※44）2015年7月のAngler観測状況や、その機能については本レポートのVol.28（http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol28.pdf）の「1.4.2 猛威を振るうAngler Exploit Kit」で詳しく紹介している。
（※45）例えばMalware「Large Malvertising Campaign Goes （Almost） Undetected」（https://blog.malwarebytes.org/malvertising-2/2015/09/large-malvertising-campaign-goes-almost-undetected/）などでも同時期のMalvertisingについて言及されている。