ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.25
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.25
2014年11月25日発行RSS

目次

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、状況により多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

直接観測による状況

図-2に、2014年7月から9月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※26)、サーバに対する攻撃(※27)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。

この3ヵ月間でIIJは、340件のDDoS攻撃に対処しました。1日あたりの対処件数は3.7件で、平均発生件数は前回のレポート期間と比べて減少しました。DDoS攻撃全体に占める割合は、サーバに対する攻撃が71.5%、複合攻撃が16.8%、回線容量に対する攻撃が11.8%でした。今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大48万6千ppsのパケットによって4.88Gbpsの通信量を発生させる攻撃でした。

攻撃の継続時間は、全体の90.9%が攻撃開始から30分未満で終了し、9.1%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃はありませんでした。なお、今回もっとも長く継続した攻撃は、複合攻撃に分類されるもので17時間36分にわたりました。

また、毎年この期間では、歴史的日付の前後でDDoS攻撃が多く見られます。9月に入ってからDDoS攻撃が増加しており、攻撃の傾向も変化が見られましたが、組織的な攻撃ではないことから、関連は確認できませんでした。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※28)の利用や、DDoS攻撃を行うための手法としてのボットネット(※29)の利用によるものと考えられます。

図-2 DDoS攻撃の発生件数

backscatterによる観測

図-3 DDoS攻撃のbackscatter観測による攻撃先の国別分類

次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※30)によるDDoS攻撃のbackscatter観測結果を示します(※31)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。

2014年7月から9月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。

図-4 DDoS攻撃によるbackscatter観測(観測パケット数、ポート別推移)

観測されたDDoS攻撃の対象ポートのうち最も多かったものはDNSで利用される53/UDPで、対象期間における全パケット数の36.2%を占めています。次いでWebサービスで利用される80/TCPが27.3%を占めており、上位2つで全体の63.5%に達しています。またDNSに利用される53/TCP、SSHで利用される22/TCP、リモートデスクトップで利用される3389/TCP、FTPで利用される21/TCP、HTTPSで利用される443/TCPへの攻撃、通常は利用されない25565/TCPや27015/TCP、2272/TCPなどへの攻撃が観測されています。

今年2月から増加傾向にある53/UDPのbackscatterは、今回の期間も増加を続け、観測パケット数の最も多いポートになりました。これらのパケットのほとんどは「DNS水責め攻撃(Water Torture)(※32)」と呼ばれる攻撃手法の特徴を持っています。また、観測されたパケットの発信元アドレスは広範にわたっています。特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP)への攻撃としては、7月23日から8月15日にかけてウクライナのテレビ局、7月1日から24日にかけてロシアのホスティング事業者のサーバに対する攻撃をそれぞれ観測しています。特に後者は前回対象期間中の6月16日から攻撃が継続しています。また、9月に入って25565/TCPへの攻撃が多く観測されています。このポートは、特定のゲームのサーバで使われることがあります。攻撃対象は広範にわたっており、ロシアのホスティング事業者が持つ複数のサーバが攻撃される様子などが観測されています。9月9日から10日にかけて、パキスタンのドメインである.pkゾーンを担う複数のDNSサーバに対するDNS(53/TCP)への攻撃を観測しています。

また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、7月から8月初めにかけてAnonymousによる複数のイスラエル政府関連サイトへの攻撃を観測しています。

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※33)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※34)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

無作為通信の状況

図-5 発信元の分布(国別分類、全期間)

2014年7月から9月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に、その総量(到着パケット数)の推移を図-6に、それぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。

図-6 ハニーポットに到着した通信の推移(日別・宛先ポート別・1台あたり)

ハニーポットに到着した通信の多くは、Microsoft社のOSで利用されているTCPポートに対する探索行為でした。また、同社のSQL Serverで利用される1433/TCP、SSHで利用される22/TCP、DNSで利用される53/UDP、Telnetで利用される23/TCP、HTTP Proxyで用いられる8080/TCPに対する探査行為も観測されています。

期間中、7月27日、8月14日、9月12日に53/UDPの通信が大量に発生しています。これらのパケットのほとんどはbackscatterによる観測でも触れた「DNS水責め攻撃(WaterTorture)」のパケットを受信したためです(※35)。主に米国、カナダ、中国などに割り当てられた大量のIPアドレスから各ハニーポットに対して1回から数回程度の少ない回数の問い合わせが行われています。この傾向から、攻撃者はボットネットなどを使ったと推測されます。問い合わせ内容は「ランダム文字列.実在するドメイン」のAレコードの解決要求でした。また9月8日にイランに割り当てられた1つのIPアドレスから、特定のハニーポットのIPアドレスに対して3395/UDPに対する通信が行われています。この通信の調査を行ったところ、長さは数十から数百バイトのランダムなデータが送信されていました。

ネットワーク上でのマルウェアの活動

図-7 検体取得元の分布(国別分類、全期間、Confickerを除く)

同じ期間中でのマルウェアの検体取得元の分布を図-7に、マルウェアの総取得検体数の推移を図-8に、そのうちのユニーク検体数の推移を図-9にそれぞれ示します。このうち図-8と図-9では、1日あたりに取得した検体(※36)の総数を総取得検体数、検体の種類をハッシュ値(※37)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-8と図-9は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行いConfickerと認められたデータを除いて集計しています。

図-8 総取得検体数の推移(Confickerを除く)

図-9 ユニーク検体数の推移(Confickerを除く)

期間中の1日あたりの平均値は、総取得検体数が93、ユニーク検体数が20でした。未検出の検体をより詳しく調査した結果、シンガポールとフィリピンに割り当てられたIPアドレスからパスワードを盗み出すマルウェアなどが観測されました。また、未検出の検体の約54%がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。

MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型96.0%、ダウンローダ型4.0%でした。また解析により、1個のボットネットC&Cサーバ(※38)と16個のマルウェア配布サイトの存在を確認しました。

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が25,435、ユニーク検体数は672でした。短期間での増減を繰り返しながらも、総取得検体数で99.6%、ユニーク検体数で97.0%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較し、約20%減少しています。また、ユニーク検体数は前号から約7%減少しました。Conficker Working Groupの観測記録(※39)によると、2014年9月30日現在で、ユニークIPアドレスの総数は1,026,417とされています。2011年11月の約320万台と比較すると、約32%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。

1.3.3 SQLインジェクション攻撃

図-10 SQLインジェクション攻撃の発信元の分布

IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※40)について継続して調査を行っています。SQLインジェクション攻撃は、過去にも度々流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。

2014年7月から9月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-10に、攻撃の推移を図-11にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。

図-11 SQLインジェクション攻撃の推移(日別、攻撃種類別)

発信元の分布では、中国48.2%、米国20.5%、日本11.3%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は前回に比べて大幅に増加しました。これは中国を発信元とする攻撃が大幅に増えたためです。

この期間中、7月19日には、中国の特定の攻撃元より特定の攻撃先に対する攻撃が発生しています。8月25日には米国の複数の攻撃元より、特定の攻撃先に対する攻撃が発生しています。9月8日には中国の特定の攻撃元より、特定の攻撃先への大規模な攻撃が発生していました。9月23日には、中国の特定の攻撃元から特定の攻撃先に対する攻撃が発生していました。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

1.3.4 Webサイト改ざん

MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※41)。このWebクローラは国内の著名サイトや人気サイトなどを中心とした数万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。

図-12 Webサイト閲覧時のドライブバイダウンロードの発生率(%)(Exploit Kit別)

※ 調査対象は日本国内の数万サイト。近年のドライブバイダウンロードは、クライアントのシステム環境やセッション情報、送信元アドレスの属性、攻撃回数などのノルマ達成状況などによって攻撃内容や攻撃の有無が変わるよう設定されているため、試行環境や状況によって大きく異なる結果が得られる場合がある。

※ 7月1日~7月7日はWebクローラを停止していたため、攻撃を検知していない。

2014年7月から9月の期間は、4月から6月の期間に比べると、約2倍程度の頻度でドライブバイダウンロードが観測されています(図-12)。攻撃の内訳は、前期間と同じくAngler及びNuclearによる攻撃が多くを占めており、これらのExploit Kitは、いずれもJavaやFlash、Silverlightなどのプラグインの脆弱性を悪用する機能を備えています。特にAnglerは精力的に機能追加が行われており、8月下旬には感染時にクライアントのディスク上にマルウェアファイルを保存させないことでアンチウイルスソフトウェアによる検知の回避を試みる仕組みが確認されました(※42)

また、9月中旬にWebクローラシステムの攻撃検出ロジックを一部改良したところ、Anglerの観測数が急増しました。このことから、一時的にAnglerが消滅しているように見える8月中も、実は同Exploit Kitによる攻撃が継続していた可能性が高いと推測されます。

新たな傾向として、8月中旬ごろから、Rigが観測され始めました。これは比較的新しいExploit Kitで、前述のAngler、Nuclearと同じくJavaやFlash、Silverlightの脆弱性を攻撃する機能を備えており、有償のサービスとして提供されています(※43)。なお、Rigによる攻撃が観測された一部のケースでは、1ヵ所の誘導元Webサイトから複数のExploit Kitへの誘導が観測されました。

一方、改ざんされ、誘導元となっているWebサイトに関しては、比較的知名度の低いWebサイトなどで、2~4週間程度改ざんされた状態が継続するケースが多数確認されており、改ざん原因の調査や根本的な対策が行われていないケースが後を絶たない状況であることが窺えます。

全体として、ドライブバイダウンロードの発生率が増加傾向となっているものと推測される状況です。Webサイト運営者はWebコンテンツの改ざん対策、閲覧者側はブラウザや関連プラグインなどの脆弱性対策を徹底し、注意を継続することを推奨します。

  1. (※26)攻撃対象に対し、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
  2. (※27)TCP SYN floodやTCP connection flood、HTTP GET flood攻撃など。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリなどを無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GET flood攻撃は、Webサーバに対しTCP接続を確立した後、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
  3. (※28)発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
  4. (※29)ボットとは、感染後に外部のC&Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
  5. (※30)IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。「1.3.2 マルウェアの活動」も参照。
  6. (※31)この観測手法については、本レポートのVol.8(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdfPDF)の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
  7. (※32)Secure64 Software Corporation、"Water Torture: A Slow Drip DNS DDoS Attack"(https://blog.secure64.com/?p=377blank)。日本語での解説としては、株式会社日本レジストリサービス 森下氏による次の資料が詳しい。「DNS水責め(Water Torture)攻撃について」(http://2014.seccon.jp/dns/dns_water_torture.pdfPDF)。
  8. (※33)Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
  9. (※34)脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
  10. (※35)MITFハニーポットはDNSの問い合わせパケットを受信しても、権威サーバやキャッシュサーバに問い合わせに行かないため、攻撃には加担していない。
  11. (※36)ここでは、ハニーポットなどで取得したマルウェアを指す。
  12. (※37)様々な入力に対して一定長の出力をする一方向性関数(ハッシュ関数)を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
  13. (※38)Command & Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
  14. (※39)Conficker Working Groupの観測記録(http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTrackingblank)。
  15. (※40)Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
  16. (※41)Webクローラによる観測手法については、本レポートのVol.22(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol22.pdfPDF)の「1.4.3 WebクローラによるWebサイト改ざん調査」で仕組みを紹介している。
  17. (※42)同機能については、Malware don't need Coffee「Angler EK : now capable of "fileless" infection(memory malware)」(http://malware.dontneedcoffee.com/2014/08/angler-ek-now-capable-of-fileless.htmlblank)で詳解されている。
  18. (※43)Rigについては、Kahu Security「RIG Exploit Pack」(http://www.kahusecurity.com/2014/rig-exploit-pack/blank)で詳解されている。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る