Internet Infrastructure Review（IIR）Vol.24
2014年8月22日発行

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、状況により多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF（※37）による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット（※38）を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

1.3.3 SQLインジェクション攻撃

拡大する

図-11 SQLインジェクション攻撃の推移（日別、攻撃種類別）

発信元の分布では、米国35.3%、中国24.6%、日本13.1%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は、前回に比べてやや減少しました。

この期間中、5月7日には、欧州の複数の攻撃元より特定の攻撃先への攻撃が発生していました。5月12日には、中国の複数の攻撃元より特定の攻撃先に対する攻撃が発生していました。5月25日には、欧州や中国の複数の攻撃元より特定の攻撃先に対する攻撃が発生しています。5月30日には、欧米の複数の攻撃元から特定の攻撃先に対する攻撃と、中国の特定の攻撃元より別の特定の攻撃先に対する攻撃が発生していました。6月27日には、韓国と中国の特定の攻撃元より特定の攻撃先に対する大規模な攻撃が発生しています。これらの攻撃は、Webサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

1.3.4 Webサイト改ざん

MITFのWebクローラ（クライアントハニーポット）によって調査したWebサイト改ざん状況を示します（※45）。このWebクローラは、国内の著名サイトや人気サイトなどを中心とした数万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。

拡大する

図-12 Webサイト閲覧時のドライブバイダウンロード発生率（％）（Exploit Kit別）

※ 調査対象は日本国内の数万サイト。近年のドライブバイダウンロードは、クライアントのシステム環境やセッション情報、送信元アドレスの属性、攻撃回数などのノルマ達成状況などによって攻撃内容や攻撃の有無が変わるよう設定されているため、試行環境や状況によって大きく異なる結果が得られる場合がある。

※ 6月26日～6月30日はWebクローラを停止していたため、攻撃を検知していない。

2014年4月から6月の期間に観測されたドライブバイダウンロードは、Angler及びNuclearによる攻撃が多くを占めています（図-12）。いずれもJavaやFlashなどのプラグインの脆弱性を悪用する機能を備えていますが、特にAnglerは、Silverlightの脆弱性（CVE-2013-0074/CVE-2013-3896）も対象としている点が特徴的です。

小規模な攻撃として、Exploit Kitを使わず、redirector上のJavaScriptでLocation要素を用いて直接マルウェア（exe）を実行させようとする攻撃が数件観測されました。このような誘導では、ブラウザが実行の要否を確認するダイアログを表示させるため、厳密にはドライブバイダウンロードとは言えません。しかし、ユーザが不用意に実行を許可すると、マルウェアが実行されてしまいます。また、改ざんされ誘導元として利用されているWebサイトについて、最初に改ざんを観測してから、6週間以上断続的に同じ状態が継続するサイトが複数見受けられました。

全体として、ドライブバイダウンロードの発生率は減少傾向が継続しているものと推測される状況です。ただし、このような傾向は攻撃者の意図によって急変する可能性があるので、Webサイト運営者、訪問者共に、引き続き注意が必要です。

• （※31）攻撃対象に対し、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
• （※32）TCP SYN floodやTCP connection flood、HTTP GET flood攻撃など。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリなどを無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GET flood攻撃は、Webサーバに対しTCP接続を確立した後、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
• （※33）発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
• （※34）ボットとは、感染後に外部のC&Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
• （※35）IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。本レポート「1.3.2 マルウェアの活動」も参照。
• （※36）この観測手法については、IIR Vol.8（http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdf）の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
• （※37）Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
• （※38）脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
• （※39）ここでは、ハニーポットなどで取得したマルウェアを指す。
• （※40）様々な入力に対して一定長の出力をする一方向性関数（ハッシュ関数）を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
• （※41）WORM_ATAK（http://about-threats.trendmicro.com/archiveMalware.aspx?language=jp&name=WORM_ATAK.D）。
• （※42）Command&Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
• （※43）Conficker Working Groupの観測記録（http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTracking）。
• （※44）Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
• （※45）Webクローラによる観測手法についてはIIR Vol.22（http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol22.pdf）の「1.4.3 WebクローラによるWebサイト改ざん調査」で仕組みを紹介している。

1.インフラストラクチャセキュリティ

• 1.1 はじめに
• 1.2 インシデントサマリ
• 1.3 インシデントサーベイ
• 1.4 フォーカスリサーチ
• 1.5 おわりに