ページの先頭です
現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。
図-2に、2016年10月から12月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。
ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。
DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合いが異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※41)、サーバに対する攻撃(※42)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。
この3ヵ月間でIIJは、620件のDDoS攻撃に対処しました。1日あたりの対処件数は6.74件で、平均発生件数は前回のレポート期間と比べて増加しています。DDoS攻撃全体に占める割合は、サーバに対する攻撃が78.39%、複合攻撃が13.23%、回線容量に対する攻撃が8.39%でした。
今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大761万ppsのパケットによって15.25Gbpsの通信量を発生させる攻撃でした。攻撃の継続時間は、全体の90.97%が攻撃開始から30分未満で終了し、9.03%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃は観測されませんでした。なお、今回最も長く継続した攻撃は、複合攻撃に分類されるもので16時間53分にわたりました。
攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※43)の利用や、DDoS攻撃を行うための手法としてのボットネット(※44)の利用によるものと考えられます。
次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※45)によるDDoS攻撃のbackscatter観測結果を示します(※46)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。
2016年10月から12月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。
観測されたDDoS攻撃の対象ポートのうち最も多かったものはWebサービスで利用される80/TCPで、全パケット数の47.6%を占めています。また、DNSで利用される53/UDP、SSHで利用される22/TCP、HTTPSで利用される443/TCPへの攻撃、通常は利用されない12064/TCP、8000/TCP、46157/TCP、2980/TCPなどへの攻撃が観測されています。
図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、中国の23.8%が最も大きな割合を占めています。その後に米国の17.2%、フランスの10.0%といった国が続いています。
特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP及び443/TCP)への攻撃としては、10月1日には前回期間に引き続き中国にある電気街の公式サイトへの攻撃、11月1日から5日にかけて英国ブックメーカーへの攻撃、11月6日にロシアのホスティング事業者への攻撃、11月6日から7日にかけては特定のロシア語のサイトへの攻撃、11月10日にはジブラルタルのオンラインカジノへの攻撃を観測しています。他のポートへの攻撃としては、10月11日から14日にかけて中国の特定のIPアドレスに対する12064/TCPへの攻撃、10月16日から17日にかけて中国の特定のIPアドレスに対する46157/TCPへの攻撃、11月8日にシンガポールのISPが持つIPアドレスに対する22/TCPへの攻撃、11月22日に中国のCDN事業者のサーバに対する2980/TCPへの攻撃、12月8日にフランスのホスティング事業者のサーバに対する8000/TCPへの攻撃を観測しています。
また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、10月24日にSyrian Cyber Armyを名乗るグループによるベルギーの複数の新聞社サイトへの攻撃、12月22日にSNSサイトTumblrに対する攻撃をそれぞれ検知しています。
ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※47)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※48)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。
2016年10月から12月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に示します。また総量(到着パケット数)に関して、本レポートの期間中に最も接続回数の多かった23/TCP、3番目に接続回数の多かった1900/UDP、4番目に接続回数の多かった2323/TCPはその他の通信よりも突出して多かったため、それぞれ図-6から図-8に別途記載し、残りの推移を図-9に示します。期間中、MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。
本レポートの期間中にハニーポットに到着した通信の多くは、Telnetで使われる23/TCP、SSDPで使われる1900/UDP、FTPで使われる21/TCP、SSHで使われる22/TCP、Web Proxyで使用される8080/TCP、ICMP Echo Request、Microsoft社のOSで利用されているSQL Serverで利用される1433/TCP、同社のRemote Desktopで使用される3389/TCPなどでした。
前回のレポートに引き続き、Telnetで使われる23/TCP宛ての通信が本レポート期間中でも引き続き高い値を示しており、更に10月後半から11月中旬までと12月中旬以降はより増加しています。これは前回レポートしたとおり、Miraiボット(※49)及びその亜種、Bashlite、KaitenやhajimeなどといったIoT機器のLinuxをターゲットにしたボットの感染が拡がっているためです。この通信は台湾、中国、ベトナム、韓国、ブラジルなどに割り当てられた多数のIPアドレスからの通信でした。また2323/TCP、7547/TCP、23231/TCPなどについてもMiraiボットやその亜種の影響であり、本レポートの期間中、大幅に増加しています。
本レポートの期間中、SSDPプロトコルである1900/UDPが断続的に増加しています。主に米国、リトアニア、ドイツ、フランスなどに割り当てられたIPアドレスからSSDPの探査要求を受けています。これらは、SSDPリフレクターを使ったDDoS攻撃に利用可能な機器を探査する通信であると考えられます。また11月の後半から1900/UDPの通信回数がそれまでの定常時より10倍程度に増加しており、ボットなどによって定常的にスキャン活動が行われるようになった可能性が考えられます。
Miraiボットは感染活動を行う前に、インターネット上に存在するIoT機器のスキャンを行いますが、そのパケットはTCPのシーケンス番号と宛先IPアドレスが同一であるという特徴を持っていることが、解析結果から分かっています。23/TCPの通信において、この特徴に合致する通信の割合を調査したものが図-10になります。調査したところ、2016年8月1日からこのパターンに合致する通信が出現したことが分かったため、それ以降の通信を示します。23/TCPの約80%がMiraiボット、もしくはそれに準ずるアルゴリズムを持つマルウェアによる通信であることが分かりました。また、図-11は、このアルゴリズムに合致する通信をプロトコル別に並べたものになります。2323/TCPは9月6日、80/TCP及び8080/TCPが11月2日、7547/TCP(※50)が11月26日、5555/TCP(※51)が11月28日、23231/TCP(※52)、37777/TCP(※53)が12月10日、6789/TCPが12月18日、22/TCP(※54)が12月19日、2222/TCPが12月20日にそれぞれ初めて観測されています。ソースコードがリリースされたことも影響しているためか、特に11月以降は活発に開発が行われていることが分かります。
同じ期間中でのマルウェアの検体取得元の分布を図-12に、マルウェアの総取得検体数の推移を図-13に、そのうちのユニーク検体数の推移を図-14にそれぞれ示します。このうち図-13と図-14では、1日あたりに取得した検体(※55)の総数を総取得検体数、検体の種類をハッシュ値(※56)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトウェアで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行いConfickerと認められたデータを除いて集計しています。
期間中の1日あたりの平均値は、総取得検体数が280、ユニーク検体数が21でした。図-13において、12月初旬に未検出の検体が急増していますが、これはMITFハニーポットの改修を行い、5555/TCP及び7547/TCPをスキャンするマルウェアを取得できるようにしたためです。それらのポートから取得した検体は、調査の結果、Miraiボットの亜種であることが分かりました。また、そのほかの未検出の検体をより詳しく調査した結果、ベトナム、インド、米国、中国などに割り当てられたIPアドレスで複数のSDBOTファミリ(IRCボットの一種)やビットコインマイニングツールのダウンローダなどが観測されています。
未検出の検体の約97%がテキスト形式でした。前号より大幅に割合が増加していますが、これはMiraiボット亜種のダウンロード先がほとんど閉鎖されており、Webサーバからのエラーが出力されていたためであるのと、従来通り、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖されているためであると考えられます。MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型5.1%、ボット型78.4%、ダウンローダ型16.5%でした。また解析により、74個のボットネットC&Cサーバ(※57)と87個のマルウェア配布サイトの存在を確認しました。
本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が3,961、ユニーク検体数は303でした。総取得検体数で75.8%、ユニーク検体数で93.1%を占めています。総取得権対数の割合が前回のレポート期間中より4分の1程度減少していますが、これはMiraiボットの亜種が取得できるようになったことによるものです。今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較し、約5%減少し、ユニーク検体数は前号から約19%減少しており、本レポート期間中は全体的に緩やかに減少しています。Conficker Working Groupの観測記録(※58)によると、2017年1月現在で、ユニークIPアドレスの総数は45万台とされています。2011年11月の約320万台と比較すると、約14%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。
IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※59)について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。
2016年10月から12月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-15に、攻撃の推移を図-16にそれぞれ示します。これらは、IIJマネージドIPS/IDSサービスのシグネチャによる攻撃の検出結果をまとめたものです。発信元の分布では、日本24.8%、米国18.1%、ロシア14.9%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の合計値は前回と比べて増加傾向にあります。特に日本とロシアが大幅な増加傾向にあります。
この期間中、12月3日に日本の特定の攻撃元から特定の攻撃先に対する攻撃が発生しています。また、ロシアの複数の攻撃元から複数の攻撃先に対する攻撃が連日発生した結果、大幅に攻撃検知件数が増加しました。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。
ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。
MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※60)。
このWebクローラは国内の著名サイトや人気サイトなどを中心とした数十万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。
2016年10月から12月までの期間は、検知したドライブバイダウンロード攻撃のほぼすべてがRig Exploit Kitでした(図-17)。2016年9月末にNeutrinoが観測されなくなって以降、継続している傾向です(※61)。Rigのペイロードとして、Cerber、Ursnifなどを確認しています。また、10月の上旬にSundownを観測しました。確認したケースではInternet Explorer、Flash、Silverlightの脆弱性を悪用する機能を備えていました。
なお、これらのExploit Kitへの誘導元となっているWebサイトにmacOSクライアントでアクセスした場合は、Landing pageへ誘導されない、あるいはLanding pageが応答を返さないことを確認しています。本期間中、macOSを対象としたドライブバイダウンロード攻撃は観測していません(※62)。
PUA(※63)のインストールや偽のサポートセンターへの電話を促す目的で、ブラウザ画面にマルウェア感染などを仄めかす偽のダイアログなどを表示する詐欺サイトへの誘導が継続しています。また、このような詐欺サイトへの誘導では海外のTDS(※64)が利用されているケースが複数確認されました。例えば、ある欧州のTDSについては2016年9月中旬から2017年1月現在まで、複数の種類の詐欺サイトへの誘導に継続して利用されていることを観測しています。業務利用端末などでは、用途を踏まえて、TDSの遮断を検討してもよいかもしれません。なお、TDSや類似するシステムの多くではインフラとして著名なクラウドサービスを利用していることが多いため、IPアドレスベースでの制御は有効に機能しません。ドメインベースでトラフィックを制御する仕組みが必要です。
また、これらの詐欺サイトではダイアログを表示する主体として被害者の利用しているOSメーカーやISPを仄めかすものがあります。IIJのインターネット接続サービスをご利用いただいているお客様の環境では、IIJの名前が表示される場合がありますが、弊社の関与したものではないのでご注意ください(※65)。
Rigを用いたドライブバイダウンロード攻撃が継続しています。ブラウザ利用環境ではOS、アプリケーションやプラグインのバージョン管理やEMET導入などの脆弱性対策の徹底しておくことを推奨します(※66)。Webサイト運営者は利用しているWebアプリケーションやフレームワーク、プラグインの脆弱性管理による脆弱性対策に加え、TDSを経由したトラフィック、広告や集計サービスなど外部から提供されるマッシュアップコンテンツの管理が必須です。
ページの終わりです