ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.33
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.33
2016年12月15日RSS

目次

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

直接観測による状況

図-2に、2016年7月から9月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

図-2 DDoS攻撃の発生件数

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合いが異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※31)、サーバに対する攻撃(※32)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。

この3ヵ月間でIIJは、392件のDDoS攻撃に対処しました。1日あたりの対処件数は4.26件で、平均発生件数は前回のレポート期間と比べて増加しています。DDoS攻撃全体に占める割合は、サーバに対する攻撃が62.76%、複合攻撃が31.89%、回線容量に対する攻撃が5.36%でした。

今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大89万ppsのパケットによって2.97Gbpsの通信量を発生させる攻撃でした。攻撃の継続時間は、全体の79.34%が攻撃開始から30分未満で終了し、19.13%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃は1.53%でした。なお、今回最も長く継続した攻撃は、複合攻撃に分類されるもので5日と3時間16分(123時間16分)にわたりました。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※33)の利用や、DDoS攻撃を行うための手法としてのボットネット(※34)の利用によるものと考えられます。

backscatterによる観測

図-3 DDoS攻撃のbackscatter観測による攻撃先の国別分類

次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※35)によるDDoS攻撃のbackscatter観測結果を示します(※36)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。

2016年7月から9月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。

観測されたDDoS攻撃の対象ポートのうち最も多かったものはWebサービスで利用される80/TCPで、全パケット数の48.7%を占めています。また、DNSで利用される53/UDP、HTTPSで利用される443/TCP、SSHで利用される22/TCPへの攻撃、ゲームの通信で利用されることがある27015/UDPへの攻撃、通常は利用されない19108/TCP、8370/TCP、3306/UDPなどへの攻撃が観測されています。

2014年2月から多く観測され前期間の5月25日に収束した53/UDPは、9月20日頃から再び観測されるようになり、1日5,000パケット程度の水準に戻っています。

図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、米国の30.0%が最も大きな割合を占めています。その後に中国の28.7%、フランスの8.5%といった国が続いています。

特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP及び443/TCP)への攻撃としては、7月25日から28日にかけてブルガリアの調査報道サイトへの攻撃、7月28日から30日にかけて中国のオンラインゲーム関連サイトへの攻撃、8月11日から13日にかけて米国のCDN事業者がもつ多数のサーバへの攻撃、9月19日と30日には中国にある電気街の公式サイトへの攻撃を観測しています。他のポートへの攻撃としては、7月21日から22日にかけて中国の特定のIPアドレスに対する6174/TCPへの攻撃、7月31日から8月2日にかけて中国の特定のIPアドレスに対する19108/TCPへの攻撃、9月19日から20日にかけて中国の特定のIPアドレスに対する8370/TCPへの攻撃を観測しています。

また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、7月6日にOurMine Teamを名乗るグループによるWikiLeaksへの攻撃、7月7日にAnonymousによるジンバブエ与党サイトへの攻撃、9月3日に国内家電量販店サイトへの攻撃をそれぞれ検知しています。

図-4 DDoS攻撃によるbackscatter観測(観測パケット数、ポート別推移)

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※37)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※38)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

無作為通信の状況

図-5 発信元の分布(国別分類、全期間)

2016年7月から9月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に、その総量(到着パケット数)の推移を図-6に、それぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。

本レポートの期間中にハニーポットに到着した通信の多くは、Telnetで使われる23/TCP、SSDPで使われる1900/UDP、SSHで使われる22/TCP、ICMP Echo Request、Microsoft社のOSで利用されている445/TCP、同社のSQL Serverで利用される1433/TCPなどでした。

前回のレポートに引き続き、Telnetで使われる23/TCP宛ての通信が本レポート期間中でも引き続き高い値を示しており、9月後半からはより増加しています。また警察庁やJPCERT/CCも今年5月末から23/TCP宛ての通信が増加したことを報告しています(※39)(※40)(※41)。一方でホームルータやIoT機器(CCTV、DVR、NASなど)に対してTelnetへの辞書攻撃を行い、侵入できた機器に対してボットを配置する攻撃が複数のベンダーから報告されており(※42)(※43)(※44)(※45)(※46)、例えば、1.4.1で触れているようなMiraibotや、それ以外にもBashlite、KaitenなどといったIoT機器のLinuxをターゲットにしたボットの感染が拡がっていることから、これらの通信の多くはTelnetが初期設定で有効になっているIoT機器などへのスキャン行為や感染活動であるとIIJでは考えています。本レポート期間中に23/TCPに対して通信を行ったユニークIPアドレスは140万を超えていることから、このようなマルウェアに感染している可能性がある機器が大規模であることが分かります。

図-6 ハニーポットに到着した通信の推移(日別・宛先ポート別・1台あたり)

また9月に入ってからは、2323/TCPのアクセスが増加しています。図-7に2323/TCPの国別のアクセス数を示します。7月、8月にはほとんど通信が発生していないのに対し、9月6日に増加し始め、9月14日以降に急増しているのが分かります。Miraibotは10回に1回の割合で、2323/TCPに通信する特徴があることが知られており、増加し始めた時期と合わせると、これらのほとんどはMiraibotによるものと考えられます。国別に見ると、ベトナム、中国、ブラジル、コロンビア、韓国など、幅広い国に割り当てられたIPアドレスから受信していました。

図-7 ハニーポットに到着した通信の推移(日別・2323/TCP・1台あたり)

7月初旬にSSDPプロトコルである1900/UDPが増加しています。主に米国、中国、フランス、韓国、ドイツなどに割り当てられたIPアドレスからSSDPの探査要求を受けています。これらは、SSDPリフレクターを使ったDDoS攻撃に利用可能な機器を探査する通信であると考えられます。

1433/TCPについても引き続き通信が増加しています。調査したところ、中国に割り当てられたIPアドレスを中心とした多数のIPアドレスからの通信でした。

本レポート期間中も引き続き53413/UDPが増加しています。調査したところ、Netis、Netcore製のルータの脆弱性を狙った攻撃の通信でした。この脆弱性は、2014年8月にトレンドマイクロによって報告されており(※47)、JPCERT/CCが2015年4月から6月にかけて攻撃が増加したことを報告しています(※48)

ネットワーク上のマルウェアの活動

図-8 検体取得元の分布(国別分類、全期間、Confickerを除く)

同じ期間中でのマルウェアの検体取得元の分布を図-8に、マルウェアの総取得検体数の推移を図-9に、そのうちのユニーク検体数の推移を図-10にそれぞれ示します。このうち図-9と図-10では、1日あたりに取得した検体(※49)の総数を総取得検体数、検体の種類をハッシュ値(※50)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-9と図-10は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行いConfickerと認められたデータを除いて集計しています。

期間中の1日あたりの平均値は、総取得検体数が124、ユニーク検体数が20でした。未検出の検体をより詳しく調査した結果、台湾、インド、ベトナムなどに割り当てられたIPアドレスで複数のSDBOTファミリ(IRCボットの一種)やビットコインマイニングツールのダウンローダなどが観測されています。

未検出の検体の約61%がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。また、本レポート期間にハニーポット環境をメンテナンスし、HTTP経由やFTP経由での攻撃を検知できるようにした結果、PHP形式のボットや.htaccessによるリダイレクタを取得できるようになったたことも影響しています。MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型28.9%、ボット型61.3%、ダウンローダ型9.8%でした。ボットの割合が大幅に増加していますが、これは前述のとおり、ハニーポット環境のメンテナンスにより、HTTPやFTP経由での攻撃を検知できるようになり、PHP形式のボットが数多く取得されたことによります。また解析により、54個のボットネットC&Cサーバ(※51)と110個のマルウェア配布サイトの存在を確認しました。前回のレポート期間中から大幅に増加していますが、これはハニーポットのメンテナンスにより、取得するマルウェアが増えた点や、解析環境が更新された影響と、DGA(ドメイン生成アルゴリズム)を持つマルウェアを検出したためです。

図-9 総取得検体数の推移(Confickerを除く)

図-10 ユニーク検体数の推移(Confickerを除く)

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が4,185、ユニーク検体数は374でした。総取得検体数で97.0%、ユニーク検体数で94.8%を占めています。今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較すると、約51%減少しています。これは前回のレポート期間の後半になるにしたがって減少傾向にあったのと、本レポート期間に切り替わる際にハニーポットのメンテナンスを行い、センサーのIPアドレスが変更になったためだと考えられます。Conficker Working Groupの観測記録(※52)によると、2016年10月現在で、ユニークIPアドレスの総数は50万台とされています。2011年11月の約320万台と比較すると、約16%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。

1.3.3 SQLインジェクション攻撃

IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※53)について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。

図-11 SQLインジェクション攻撃の発信元の分布

2016年7月から9月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-11に、攻撃の推移を図-12にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。発信元の分布では、米国35.7%、中国23.7%、日本9.8%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の合計値は前回と比べてほぼ横ばいの傾向にありますが、中国は増加傾向、また、日本は減少傾向にあります。

この期間中、7月31日には中国の複数の攻撃元から複数の攻撃先に対する攻撃が発生しています。8月6日には米国の特定の攻撃元から特定の攻撃先に攻撃が発生しています。9月3日には中国の特定の攻撃元から特定の攻撃先に攻撃が発生しています。9月24日には様々な地域の攻撃元から特定の攻撃先に攻撃が発生しています。また、9月25日にはインドネシアから特定の攻撃先に攻撃が発生しています。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

図-12 SQLインジェクション攻撃の推移(日別、攻撃種類別)

1.3.4 Webサイト改ざん

MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※54)

このWebクローラは国内の著名サイトや人気サイトなどを中心とした数十万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。

2016年7月から9月までの期間は、検知した受動的攻撃の大部分をNeutrino ExploitKitによるドライブバイダウンロード攻撃が占めました(図-13)。2016年6月にAngler ExploitKitが消滅して以来継続していた傾向です。しかし、9月下旬頃にはNeutrinoは一切観測されなくなり、代わりにRig ExploitKitが大規模に観測されるようになりました(※55)(※56)。これらのペイロードとしては、Locky、Cerber、Ursnifなどを確認しています。

図-13 Webサイト閲覧時の受動的攻撃発生率(%)(Exploit Kit別)

Exploit Kitへの誘導元として悪用されているWebサイトについて、規模やコンテンツなどに共通点は確認できませんが、WordPressで運用されているWebサイトが複数確認されています。また、AnglerやNeutrinoの誘導元として悪用されていたWebサイト、他の詐欺行為などに悪用されていたWebサイトがRigへの誘導元として機能するようになったケースを多数観測しています。なお、これらの誘導元となっているWebサイトにMac OS Xクライアントでアクセスした場合は、Landing pageへ誘導されない、あるいはLanding pageが応答を返さないことを確認しています。本期間中、Mac OS Xを対象としたドライブバイダウンロード攻撃は観測していません(※57)

また、ブラウザ画面にマルウェア感染などを仄めかす偽のダイアログなどを表示して、PUA(※58)のインストールや偽のサポートセンターへの電話を促す詐欺サイトへの誘導の観測数が高い値で継続しています。これらの詐欺サイトはMac OS X環境でも機能します。

誘導元WebサイトからLocationヘッダなどを利用してランサムウェアやPUAなどの実行ファイルを単にダウンロードさせようとするケースも複数見受けられました。このような場合、ファイルが自動的に実行されることはありませんが、例えばブラウザがInternet Explorerであれば実行の是非を確認するダイアログが表示されるため、誤って実行してしまう可能性が考えれられます。このように実行ファイルを直接ダウンロードさせようとするケースでは、実行ファイルの配置場所として、一部のクラウドストレージサービスを利用しているものや、誘導元となったWebサイトと同じサーバを利用しているものなどがありました。

9月下旬からドライブバイダウンロード攻撃が急増しているため、ブラウザ利用環境ではOS、アプリケーションやプラグインのバージョン管理やEMET導入などの脆弱性対策の徹底しておくことを推奨します(※59)。Webサイト運営者は利用しているWebアプリケーションやフレームワーク、プラグインの脆弱性管理による脆弱性対策、及び、広告や集計サービスなど外部から提供されるマッシュアップコンテンツの管理が必須です。

  1. (※31)攻撃対象に対し、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
  2. (※32)TCP SYN floodやTCP connection flood、HTTP GET flood攻撃など。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリなどを無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GET flood攻撃は、Webサーバに対しTCP接続を確立した後、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
  3. (※33)発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
  4. (※34)ボットとは、感染後に外部のC&Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
  5. (※35)IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。「1.3.2 マルウェアの活動」も参照。
  6. (※36)この観測手法については、本レポートのVol.8(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdfPDF)の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
  7. (※37)Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
  8. (※38)脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
  9. (※39)「インターネット観測結果等(平成28年6月期)」(http://www.npa.go.jp/cyberpolice/detect/pdf/20160729.pdfPDF)。
  10. (※40)「インターネット観測結果等(平成28年9月期)」(http://www.npa.go.jp/cyberpolice/detect/pdf/20161020.pdfPDF)。
  11. (※41)「インターネット定点観測レポート(2016年4~6月)」(http://www.jpcert.or.jp/tsubame/report/report201604-06.htmlblank)。
  12. (※42)"CCTV DDoS Botnet In Our Own Back Yard"(https://www.incapsula.com/blog/cctv-ddos-botnet-back-yard.htmlblank)。
  13. (※43)"Attack of Things!"(http://blog.level3.com/security/attack-of-things/blank)。
  14. (※44)"IoT devices being increasingly used for DDoS attacks"(http://www.symantec.com/connect/blogs/iot-devices-being-increasingly-used-ddos-attacksblank)。
  15. (※45)"Large CCTV Botnet Leveraged in DDoS Attacks"(https://blog.sucuri.net/2016/06/large-cctv-botnet-leveraged-ddos-attacks.htmlblank)。
  16. (※46)"IoT Home Router Botnet Leveraged in Large DDoS Attack"(https://blog.sucuri.net/2016/09/iot-home-router-botnet-leveraged-in-large-ddos-attack.htmlblank)。
  17. (※47)「UDPポートを開放した状態にするNetis製ルータに存在する不具合を確認」(http://blog.trendmicro.co.jp/archives/9725blank)。
  18. (※48)「インターネット定点観測レポート(2015年4~6月)」(https://www.jpcert.or.jp/tsubame/report/report201504-06.htmlblank)。
  19. (※49)ここでは、ハニーポットなどで取得したマルウェアを指す。
  20. (※50)様々な入力に対して一定長の出力をする一方向性関数(ハッシュ関数)を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
  21. (※51)Command & Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
  22. (※52)Conficker Working Groupの観測記録(http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTrackingblank)。本レポート期間中、数値のデータが1月7日以降表示されていないため、10月前半の最高値をグラフから目視で確認して採用している。
  23. (※53)Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
  24. (※54)Webクローラによる観測手法については本レポートのVol.22(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol22.pdfPDF)の「1.4.3 WebクローラによるWebサイト改ざん調査」で仕組みを紹介している。
  25. (※55)9月29日にRig EKの検知精度向上を目的としたWebクローラの機能強化を実施した。9月29日以降のRig EK観測数急増の直接の原因はこの機能強化によるものと考えられる。ただしRig EKの観測数はこの機能強化の少し前から増加傾向にあった。また、例えばMalwarebytes Labs「RIG exploit kit takes on large malvertising campaign」(https://blog.malwarebytes.com/cybercrime/exploits/2016/09/rig-exploit-kit-takes-on-large-malvertising-campaign/blank)などでもRigの大規模な攻撃キャンペーンが紹介されている。このため、少なくとも8月中旬から9月中旬頃を起点としてRigによる攻撃が増加していたものと推測している。
  26. (※56)2016年9月末から10月中旬までのRig EKの観測状況については、IIJ-SECT「Rig Exploit Kit観測数の拡大に関する注意喚起」(https://sect.iij.ad.jp/d/2016/10/178746.htmlblank)で速報している。
  27. (※57)MITF Webクローラシステムでは、Windows環境のクライアントハニーポットで巡回した際に受動的攻撃の可能性を示す挙動が観測されたWebサイトに対して、Mac OS X環境のクライアントハニーポットによる追加調査を行っている。
  28. (※58)Potentially Unwanted Applicationの略。一般的な業務に不要と思われたり、用途によってはPCユーザやシステム管理者にとって不適切な結果を招く可能性があると考えられたりするアプリケーションの総称。
  29. (※59)例えば管理者権限の分離やアプリケーションホワイトリストの適用などが考えられる。詳細は本レポートのVol.31(http://www.iij.ad.jp/dev/report/iir/031.htmlblank)の「1.4.3 マルウェアに感染しないためのWindowsクライアント要塞化」参照。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る