ページの先頭です
現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。
図-2に、2016年4月から6月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。
ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。
DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合いが異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※24)、サーバに対する攻撃(※25)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。
この3ヵ月間でIIJは、267件のDDoS攻撃に対処しました。1日あたりの対処件数は2.93件で、平均発生件数は前回のレポート期間と比べて若干減少しました。DDoS攻撃全体に占める割合は、サーバに対する攻撃が62.55%、複合攻撃が34.08%、回線容量に対する攻撃が3.37%でした。
今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大63万5,000ppsのパケットによって2.84Gbpsの通信量を発生させる攻撃でした。
攻撃の継続時間は、全体の81.27%が攻撃開始から30分未満で終了し、17.23%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃は1.50%でした。なお、今回最も長く継続した攻撃は、複合攻撃に分類されるもので2日と17時間15分(65時間15分)にわたりました。
攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※26)の利用や、DDoS攻撃を行うための手法としてのボットネット(※27)の利用によるものと考えられます。
次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※28)によるDDoS攻撃のbackscatter観測結果を示します(※29)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。
2016年4月から6月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。
観測されたDDoS攻撃の対象ポートのうち最も多かったものはWebサービスで利用される80/TCPで、全パケット数の40.3%を占めています。次いでDNSで利用される53/UDPが27.5%を占めており、上位2つで全体の67.8%に達しています。また、HTTPSで利用される443/TCP、SSHで利用される22/TCPへの攻撃、ゲームの通信で利用されることがある27015/UDPや25565/TCPへの攻撃、通常は利用されない42668/TCPや50401/TCP、44461/TCP、3306/UDPなどへの攻撃が観測されています。
2014年2月から多く観測されている53/UDPは、5月25日までは一日平均のパケット数で約4,900と高い水準が続いていましたが、翌日以降は一日平均で約20と、2014年2月以前の水準に戻りました。「1.3.2 マルウェアの活動」の無作為通信の状況においても同じ現象が見られています。これまで観測されていたDNS水責め攻撃(※30)の行為者が、この日を境に攻撃の手法を変えたか、あるいは攻撃を停止したものと考えられます。
図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、中国の29.6%が最も大きな割合を占めています。その後に米国の25.0%、フランスの6.6%といった国が続いています。
特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP及び443/TCP)への攻撃としては、4月6日と12日に中国ホスティング事業者のサーバへの攻撃、4月26日に米国ソフトウェア開発企業によるブログホスティングサーバへの攻撃、5月27日に自動車関連の掲示板サイトへの攻撃、5月29日にカナダのホスティング事業者が持つ複数のサーバへの攻撃、6月8日以降継続して米国ホスティング事業者のサーバへの攻撃、6月27日から28日にかけて米国セキュリティ企業のリバースプロキシサーバへの攻撃を観測しています。
また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測では、5月15日から20日にかけてAnonymousによる米国ノースカロライナ州政府Webサイトへの攻撃を検知しています。
ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※31)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※32)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。
2016年4月から6月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に示します。また、総量(到着パケット数)に関して、本レポートの期間中に一番接続回数の多かった53/UDPはその他の通信よりも突出して多かったため、図-6に別途記載し、残りの推移を図-7に示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、図-6は国別に、図-7では到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。
本レポートの期間中にハニーポットに到着した通信の多くは、DNSで使われる53/UDP、telnetで使われる23/TCP、ICMP Echo Request、Microsoft社のOSで利用されている445/TCP、同社のSQL Serverで利用される1433/TCP、Webサーバで使われる80/TCP、443/TCP、sshで使われる22/TCP、RDPで使用される3389/TCP、SIPで使用される5060/UDPなどでした。
前回のレポート期間と同様に、53/UDPの通信が高い値を示しています。この通信について調査したところ、特定のMITFハニーポットのIPアドレスに対し、主に米国、中国などに割り当てられた様々な送信元IPアドレスからのDNS名前解決のリクエストを繰り返し受けています。対象となるドメイン名も複数確認されていますが、多くが中国の通販サイトやゲーム、SF小説などをはじめとする幅広い分野のWebサイトでした。これらの通信のほとんどは「ランダム.存在するドメイン」の名前解決を繰り返し試みたものであったことから、DNS水責め攻撃(DNS Water Torture)であると判断しています(※33)。2016年5月26日以降に観測されなくなっていますが、攻撃者が攻撃の手法を変えたか、あるいは攻撃を停止したために収束したものと考えられます。
1433/TCPについても前回に引き続き通信が増加しています。調査したところ、中国に割り当てられたIPアドレスを中心とした多数のIPアドレスからの通信でした。
本レポート期間中も前回と同様に53413/UDPが増加しています。調査したところ、Netis、Netcore製のルータの脆弱性を狙った攻撃の通信でした。この脆弱性は、2014年8月にトレンドマイクロによって報告されており(※34)、JPCERT/CCが2015年4月から6月にかけて攻撃が増加したことを報告しています(※35)。23/TCPが全体的に増加傾向にあり、特に6月に増加しています。調査したところ、中国とブラジルに割り当てられたIPアドレスを中心に、幅広い国々に割り当てられたIPアドレスからパケットが届いており、ユニークIPアドレスで40万個以上が期間中に出現しています。また4月上旬には日本に割り当てられたいくつかのIPアドレスからICMP Echo Requestが増加しています。
同じ期間中でのマルウェアの検体取得元の分布を図-8に、マルウェアの総取得検体数の推移を図-9に、そのうちのユニーク検体数の推移を図-10にそれぞれ示します。このうち図-9と図-10では、1日あたりに取得した検体(※36)の総数を総取得検体数、検体の種類をハッシュ値(※37)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-9と図-10は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行い、Confickerと認められたデータを除いて集計しています。
期間中の1日あたりの平均値は、総取得検体数が74、ユニーク検体数が15でした。未検出の検体をより詳しく調査した結果、台湾、インド、ベトナムなどに割り当てられたIPアドレスで複数のSDBOTファミリ(IRCボットの一種)が観測されています。
未検出の検体の約33%がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型85.1%、ボット型11.2%、ダウンローダ型3.7%でした。また解析により、7個のボットネットC&Cサーバ(※38)と5個のマルウェア配布サイトの存在を確認しました。
本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が8,543、ユニーク検体数は372でした。総取得検体数で99.1%、ユニーク検体数で96.2%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較し、約28%減少し、ユニーク検体数は前号から約13%減少しており、全体的に緩やかに減少しています。Conficker Working Groupの観測記録(※39)によると、2016年7月現在で、ユニークIPアドレスの総数は55万台とされています。2011年11月の約320万台と比較すると、約17%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。
IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※40)について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。
2016年4月から6月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-11に、攻撃の推移を図-12にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。発信元の分布では、米国32.3%、中国19.6%、日本17.5%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃は前回と比べて減少傾向にあります。
この期間中、4月5日には中国の複数の攻撃元から特定の攻撃先に対する攻撃が発生しています。4月7日には中国、香港、韓国それぞれ特定の攻撃元から特定の攻撃先に対する攻撃が発生しています。これらの攻撃は、Webサーバの脆弱性を探る試みであったと考えられます。
ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。
MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※41)。
このWebクローラは国内の著名サイトや人気サイトなどを中心とした数十万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。
2016年4月から6月までの期間は、検知した受動的攻撃の大部分を、Angler ExploitKitによるドライブバイダウンロードが占めました(図-13)。Anglerによる攻撃は、2015年7月以来継続して大量に観測されてきました(※42)が、2016年6月6日を最後に一切検知されなくなりました。このAngler消滅の原因として、直前にロシアでマルウェアを悪用していたとされる犯罪組織が摘発され、50人が逮捕された事件(※43)が挙げられます(※44)。その後一時期、Anglerの穴を埋めるかのようにNeutrinoが勢いを増しましたが、6月下旬以降はRigと共に低調に推移しています。
4月中に観測したペイロードの多くはTeslaCryptでしたが、5月にTeslaCryptの開発中止が宣言され(※45)てからはCryptXXXが取って代わりました。その他にBedepやUrsnifなどのペイロードが確認されました。
6月中旬以降、ブラウザ画面にマルウェア感染などを仄めかす偽のダイアログなどを表示して、PUA(※46)のインストールや偽のサポートセンターへ電話を促す詐欺サイトへの誘導の観測数が急増しています。なお、これらの詐欺サイトの多くでは、Mac OS Xクライアントに対しても類似のダイアログを表示し、Mac OS X環境で実行可能なPUAのインストールを促すことを確認しました。
Anglerの消滅に伴い、ドライブバイダウンロードによる攻撃は収束傾向にあります。一方、詐欺サイトによるPUAインストール誘導が規模を増しています。ブラウザ利用環境では、脆弱性悪用によるマルウェア感染だけでなく、詐欺サイトなどソーシャルエンジニアリングによってPC利用者が意図的にPUAやマルウェアをインストールしてしまうケースへの対策も検討しておくことが重要です(※47)。Webサイト運営者は、Webコンテンツの改ざん対策及び、広告や集計サービスなど外部から提供されるマッシュアップコンテンツの管理を徹底して継続することが求められます。
ページの終わりです