ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJの技術
  3. セキュリティ・技術レポート
  4. Internet Infrastructure Review(IIR)
  5. Vol.30
  6. 1.インフラストラクチャセキュリティ

Internet Infrastructure Review(IIR)Vol.30
2016年2月29日発行RSS

目次

1.3 インシデントサーベイ

1.3.1 DDoS攻撃

現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっており、その内容は、多岐にわたります。しかし、攻撃の多くは、脆弱性などの高度な知識を利用したものではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることでサービスの妨害を狙ったものになっています。

直接観測による状況

図-2に、2015年10月から12月の期間にIIJ DDoSプロテクションサービスで取り扱ったDDoS攻撃の状況を示します。

図-2 DDoS攻撃の発生件数

ここでは、IIJ DDoSプロテクションサービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、攻撃の実態を正確に把握することが困難なため、この集計からは除外しています。

DDoS攻撃には多くの攻撃手法が存在し、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃(※34)、サーバに対する攻撃(※35)、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。

この3ヵ月間でIIJは、954件のDDoS攻撃に対処しました。1日あたりの対処件数は10.37件で、平均発生件数は前回のレポート期間と比べて大幅に増加しました。これは、特定の攻撃先への攻撃が大規模に発生していたためで、全体の攻撃数の63.8%を占めています。DDoS攻撃全体に占める割合は、サーバに対する攻撃が67.7%、複合攻撃が30.7%、回線容量に対する攻撃が1.6%でした。

今回の対象期間で観測された中で最も大規模な攻撃は、複合攻撃に分類したもので、最大120万2千ppsのパケットによって2.87Gbpsの通信量を発生させる攻撃でした。

攻撃の継続時間は、全体の89.6%が攻撃開始から30分未満で終了し、10.1%が30分以上24時間未満の範囲に分布しており、24時間以上継続した攻撃は0.3%でした。なお、今回最も長く継続した攻撃は、複合攻撃に分類されるもので1日と14時間15分(38時間15分)にわたりました。

攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されました。これは、IPスプーフィング(※36)の利用や、DDoS攻撃を行うための手法としてのボットネット(※37)の利用によるものと考えられます。

backscatterによる観測

図-3 DDoS攻撃のbackscatter観測による攻撃先の国別分類

次に、IIJでのマルウェア活動観測プロジェクトMITFのハニーポット(※38)によるDDoS攻撃のbackscatter観測結果を示します(※39)。backscatterを観測することで、外部のネットワークで発生したDDoS攻撃の一部を、それに介在することなく第三者として検知できます。

2015年10月から12月の間に観測したbackscatterについて、発信元IPアドレスの国別分類を図-3に、ポート別のパケット数推移を図-4にそれぞれ示します。

観測されたDDoS攻撃の対象ポートのうち最も多かったものはDNSで利用される53/UDPで、全パケット数の49.4%を占めています。次いでWebサービスで利用される80/TCPが18.5%を占めており、上位2つで全体の67.9%に達しています。また、DNSで利用される53/TCP、HTTPSで利用される443/TCP、HTTPで利用されることがある8080/TCP、ゲームの通信で利用されることがある27015/UDPへの攻撃、通常は利用されない53261/TCPや3306/UDPなどへの攻撃が観測されています。

2014年2月から多く観測されている53/UDPは、1日平均のパケット数を見ると約4,600と、前回の約5,800から減少しましたが、引き続き高い水準にあると言えます。

図-3で、DDoS攻撃の対象となったIPアドレスと考えられるbackscatterの発信元の国別分類を見ると、中国の23.6%が最も大きな割合を占めています。その後に米国の20.0%、フランスの6.0%といった国が続いています。

特に多くのbackscatterを観測した場合について、攻撃先のポート別にみると、Webサーバ(80/TCP及び443/TCP)への攻撃としては、10月21日から11月6日にかけてと、11月13日及び18日にはISILに関連していると考えられるWebサイトへの攻撃、11月3日と6日に米国のオンラインカジノへの攻撃を観測しています。また、11月27日から29日にかけて家庭用ゲーム機のオンラインサービスプラットフォームへの攻撃、12月27日にはオランダのホスティング事業者のサーバに対する攻撃を観測しています。他のポートへの攻撃としては、10月14日から12月11日にかけて断続的に米国CDN事業者の複数のDNSサーバに対する53/TCPへの攻撃、11月25日から30日にかけてフランスのホスティング事業者のサーバに対する8080/TCPなどへの攻撃を観測しています。

また、今回の対象期間中に話題となったDDoS攻撃のうち、IIJのbackscatter観測で検知した攻撃としては、12月14日から15日にかけてトルコを表す.trドメインのDNSサーバ群に対する攻撃、12月22日と24日にAnonymousによるトルコの政府と複数の銀行に対する攻撃、12月31日にイギリスの放送局が持つ複数のWebサーバに対する攻撃をそれぞれ検知しています。

図-4 DDoS攻撃によるbackscatter観測(観測パケット数、ポート別推移)

1.3.2 マルウェアの活動

ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITF(※40)による観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポット(※41)を利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。

無作為通信の状況

図-5 発信元の分布(国別分類、全期間)

2015年10月から12月の期間中に、ハニーポットに到着した通信の発信元IPアドレスの国別分類を図-5に示します。また総量(到着パケット数)に関して、本レポートの期間中に一番接続回数の多かった53/UDPと2番目を占める1900/UDPについて、その他の通信よりも突出して多かったため、それぞれ図-6、図-7に別途記載し、残りの推移を図-8に示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均を取り、図-6、図-7は国別に、図-8では到着したパケットの種類(上位10種類)ごとに推移を示しています。また、この観測では、MSRPCへの攻撃のような特定のポートに複数回の接続を伴う攻撃は、複数のTCP接続を1回の攻撃と数えるように補正しています。

本レポートの期間中にハニーポットに到着した通信の多くは、DNSで使われる53/UDP、UPnPのSSDPプロトコルで使われる1900/UDP、telnetで使われる23/TCP、Microsoft社のOSで利用されている445/TCP、同社のSQL Serverで利用される1433/TCP、sshで使われている22/TCP、Webサーバで使われる80/TCP、443/TCP、ICMP Echo Request、NetWare Core Protocol(NCP)で使われる524/TCPなどでした。

10月30日より、53/UDPの通信が急増しています。この通信について調査したところ、特定のMITFハニーポットのIPアドレスに対し、主に米国、中国などに割り当てられた様々な送信元IPアドレスからのDNS名前解決のリクエストを繰り返し受けています。対象となるドメイン名も複数確認されていますが、多くが中国のギャンブルやゲーム、SF小説などに関連するサイトでした。これらの通信のほとんどは「ランダム.存在するドメイン」の名前解決を繰り返し試みたものであったことから、DNS水責め攻撃(DNS Water Torture)であると判断しています(※42)

10月30日から11月13日にかけてSSDPプロトコルである1900/UDPが増加しています。主に米国、中国、チリ、ギリシャなどに割り当てられたIPアドレスからSSDPの探査要求を受けています。これらは、SSDPリフレクターを使ったDDoS攻撃に利用可能な機器を探査する通信であると考えられます。10月9日から11日にかけて7805/UDPが増加しています。調査したところ、様々な送信元IPアドレスから複数のDNS名に対する名前解決の戻りパケットのみが集中的に着信していました。

11月27日から28日にかけて53423/UDPが増加しています。調査したところ、Netis、Netcore製のルータの脆弱性を狙った攻撃の通信でした。この脆弱性は、2014年8月にトレンドマイクロ社によって報告されており(※43)、JPCERT/CCが2015年4月から6月にかけて攻撃が増加したことを報告しています(※44)

図-6 ハニーポットに到着した通信の推移(日別・53/UDP・1台あたり)

図-7 ハニーポットに到着した通信の推移(日別・1900/UDP・1台あたり)

図-8 ハニーポットに到着した通信の推移(日別・宛先ポート別・1台あたり)

ネットワーク上のマルウェアの活動

図-9 検体取得元の分布(国別分類、全期間、Confickerを除く)

同じ期間中でのマルウェアの検体取得元の分布を図-9に、マルウェアの総取得検体数の推移を図-10に、そのうちのユニーク検体数の推移を図-11にそれぞれ示します。このうち図-10と図-11では、1日あたりに取得した検体(※45)の総数を総取得検体数、検体の種類をハッシュ値(※46)で分類したものをユニーク検体数としています。また、検体をウイルス対策ソフトで判別し、上位10種類の内訳をマルウェア名称別に色分けして示しています。なお、図-10と図-11は前回同様に複数のウイルス対策ソフトウェアの検出名によりConficker判定を行いConfickerと認められたデータを除いて集計しています。

期間中の1日あたりの平均値は、総取得検体数が73、ユニーク検体数が15でした。未検出の検体をより詳しく調査した結果、台湾、米国、メキシコ、中国などに割り当てられたIPアドレスでWorm(※47)などが観測されています。

未検出の検体の約55%がテキスト形式でした。これらテキスト形式の多くは、HTMLであり、Webサーバからの404や403によるエラー応答であるため、古いワームなどのマルウェアが感染活動を続けているものの、新たに感染させたPCが、マルウェアをダウンロードしに行くダウンロード先のサイトが既に閉鎖させられていると考えられます。MITF独自の解析では、今回の調査期間中に取得した検体は、ワーム型85.7%、ボット型1.4%、ダウンローダ型12.9%でした。また解析により、7個のボットネットC&Cサーバ(※48)と1個のマルウェア配布サイトの存在を確認しました。

図-10 総取得検体数の推移(Confickerを除く)

図-11 ユニーク検体数の推移(Confickerを除く)

Confickerの活動

本レポート期間中、Confickerを含む1日あたりの平均値は、総取得検体数が17,905、ユニーク検体数は480でした。総取得検体数で99.6%、ユニーク検体数で96.9%を占めています。このように、今回の対象期間でも支配的な状況が変わらないことから、Confickerを含む図は省略しています。本レポート期間中の総取得検体数は前回の対象期間と比較し、約36%減少し、ユニーク検体数は前号から約12%減少しました。これは前号で報告したとおり、7月に増加した米国に割り当てられたIPアドレスからの感染活動が8月以降、観測されていないためです。Conficker Working Groupの観測記録(※49)によると、2016年1月1日現在で、ユニークIPアドレスの総数は426,262とされています。2011年11月の約320万台と比較すると、約13%に減少したことになりますが、依然として大規模に感染し続けていることが分かります。

1.3.3 SQLインジェクション攻撃

IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃(※50)について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。

図-12 SQLインジェクション攻撃の発信元の分布

2015年10月から12月までに検知した、Webサーバに対するSQLインジェクション攻撃の発信元の分布を図-12に、攻撃の推移を図-13にそれぞれ示します。これらは、IIJマネージドIPS/IDSサービスのシグネチャによる攻撃の検出結果をまとめたものです。発信元の分布では、中国35.4%、米国25.2%、日本17.9%となり、以下その他の国々が続いています。Webサーバに対するSQLインジェクション攻撃の発生件数は前回に比べて増加しています。

この期間中、10月10日には米国の特定の攻撃元から特定の攻撃先に対する攻撃が発生しています。10月12日から13日にかけて中国の特定の攻撃元から特定の攻撃先に対する攻撃が発生しています。この攻撃元は11月3日にも別の特定の攻撃先への攻撃も行っています。11月8日にはイスラエルの特定の攻撃元より特定の攻撃先への攻撃が発生しています。11月12日にはカナダの特定の攻撃元より特定の攻撃先への攻撃が発生しています。これらの攻撃はWebサーバの脆弱性を探る試みであったと考えられます。

ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。

図-13 SQLインジェクション攻撃の推移(日別、攻撃種類別)

1.3.4 Webサイト改ざん

MITFのWebクローラ(クライアントハニーポット)によって調査したWebサイト改ざん状況を示します(※51)

このWebクローラは国内の著名サイトや人気サイトなどを中心とした数十万のWebサイトを日次で巡回しており、更に巡回対象を順次追加しています。また、一時的にアクセス数が増加したWebサイトなどを対象に、一時的な観測も行っています。一般的な国内ユーザによる閲覧頻度が高いと考えられるWebサイトを巡回調査することで、改ざんサイトの増減や悪用される脆弱性、配布されるマルウェアなどの傾向が推測しやすくなります。

2015年10月から12月までの期間は、検知したドライブバイダウンロード攻撃の大部分をAnglerが占めました(図-14)(※52)。これは7月頃から変わらない傾向です。ドライブバイダウンロード攻撃の総数は、7月から9月に集計した値に比べて約4割増加しています。また、10月下旬には、それまでAnglerを用いていた攻撃主体が、一部でNeutrinoを用いるようになりました。その後11月には、ほとんどすべての攻撃でAnglerを用いるように戻りました。攻撃主体は、何らかの理由により、一時的にツールを変更していたようです。同様のツール切り換え、切り戻しと思われる変化は、8月及び9月にも断続的に合計3回観測されています。なお、期間中にはNuclearやRigによる攻撃も観測されましたが、いずれも小規模にとどまりました。

図-14 Webサイト閲覧時のドライブバイダウンロード発生率(%)(Exploit Kit別)

ダウンロードされるマルウェアの大部分はCryptoWall3.0/4.0でした。10月中はTeslaCrypt2.0/2.2も少数ながら確認されましたが、11月以降、TeslaCryptは観測されなくなりました。その他には、Necurs、Bedep、Tinbaなどのダウンロードが確認されました。また、Webサイト改ざんやMalvertisingによってExploitKitへ誘導される際に、遷移の途中で一般のオープンリダイレクタを経由させられるケースが複数確認されました。これは、Infectorへの直接のリダイレクト元を偽装したり、HTTPSのリダイレクタを使わせてProxyサーバなどに記録されるリファラヘッダを削除することで、攻撃へ至る遷移の分析を妨害したりする意図があるものと推測されます。

その他に、ブラウザにWindowsのブルースクリーンを模した画面を表示してマルウェアに感染したかのようなエラーを演出する詐欺サイトへの誘導が、11月下旬以降多数観測されました。これらのサイトでは、更に、ポップアップウィンドウで警告を表示して技術サポートと称する番号に電話をかけるよう促します。これらの詐欺サイトへの誘導では、過去に何らかのサービスに利用されていた複数のドメインが、失効後に再取得され不正サイトの入り口として悪用されていました(※53)

ドライブバイダウンロードによる攻撃がきわめて多く発生する状況が継続しています。Webサイト運営者はWebコンテンツの改ざん対策に加えて、広告や集計サービスなど、外部の第三者から提供されるマッシュアップコンテンツを適切に管理することが求められます。コンテンツ提供者のセキュリティ方針や、その評判などを把握しておくことを推奨します。また、外部から利用可能なリダイレクタを公開している場合は、前述のようなリンク元ロンダリングに悪用される可能性も考慮する必要があります。ブラウザ利用環境では、OSやブラウザ関連プラグインの脆弱性をよく確認し、更新の適用やEMETの導入などの対策を徹底することが重要です。

  1. (※34)攻撃対象に対し、本来不必要な大きなサイズのIPパケットやその断片を大量に送りつけることで、攻撃対象の接続回線の容量を圧迫する攻撃。UDPパケットを利用した場合にはUDP floodと呼ばれ、ICMPパケットを利用した場合にはICMP floodと呼ばれる。
  2. (※35)TCP SYN floodやTCP connection flood、HTTP GET flood攻撃など。TCP SYN flood攻撃は、TCP接続の開始の呼を示すSYNパケットを大量に送付することで、攻撃対象に大量の接続の準備をさせ、対象の処理能力やメモリなどを無駄に利用させる。TCP Connection flood攻撃は、実際に大量のTCP接続を確立させる。HTTP GET flood攻撃は、Webサーバに対しTCP接続を確立した後、HTTPのプロトコルコマンドGETを大量に送付することで、同様に攻撃対象の処理能力やメモリを無駄に消費させる。
  3. (※36)発信元IPアドレスの詐称。他人からの攻撃に見せかけたり、多人数からの攻撃に見せかけたりするために、攻撃パケットの送出時に、攻撃者が実際に利用しているIPアドレス以外のアドレスを付与した攻撃パケットを作成、送出すること。
  4. (※37)ボットとは、感染後に外部のC&Cサーバからの命令を受けて攻撃を実行するマルウェアの一種。ボットが多数集まって構成されたネットワークをボットネットと呼ぶ。
  5. (※38)IIJのマルウェア活動観測プロジェクトMITFが設置しているハニーポット。「1.3.2 マルウェアの活動」も参照。
  6. (※39)この観測手法については、本レポートのVol.8(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol08.pdfPDF)の「1.4.2 DDoS攻撃によるbackscatterの観測」で仕組みとその限界、IIJによる観測結果の一部について紹介している。
  7. (※40)Malware Investigation Task Forceの略。MITFは2007年5月から開始した活動で、ハニーポットを用いてネットワーク上でマルウェアの活動の観測を行い、マルウェアの流行状況を把握し、対策のための技術情報を集め、対策につなげる試み。
  8. (※41)脆弱性のエミュレーションなどの手法で、攻撃を受けつけて被害に遭ったふりをし、攻撃者の行為やマルウェアの活動目的を記録する装置。
  9. (※42)Secure64 Software Corporation、"Water Torture:A Slow Drip DNS DDoS Attack"(https://blog.secure64.com/?p=377blank)。日本語での解説としては、株式会社日本レジストリサービス森下氏による次の資料が詳しい。「DNS水責め(Water Torture)攻撃について」(http://2014.seccon.jp/dns/dns_water_torture.pdfPDF)。MITFハニーポットはDNSの問い合わせパケットを受信しても、権威サーバやキャッシュサーバに問い合わせに行かないため、攻撃には加担していない。
  10. (※43)「UDPポートを開放した状態にするNetis製ルータに存在する不具合を確認」(http://blog.trendmicro.co.jp/archives/9725blank)。
  11. (※44)「インターネット定点観測レポート(2015年4~6月)」(https://www.jpcert.or.jp/tsubame/report/report201504-06.htmlblank)。
  12. (※45)ここでは、ハニーポットなどで取得したマルウェアを指す。
  13. (※46)様々な入力に対して一定長の出力をする一方向性関数(ハッシュ関数)を用いて得られた値。ハッシュ関数は異なる入力に対しては可能な限り異なる出力を得られるよう設計されている。難読化やパディングなどにより、同じマルウェアでも異なるハッシュ値を持つ検体を簡単に作成できてしまうため、ハッシュ値で検体の一意性を保証することはできないが、MITFではこの事実を考慮した上で指標として採用している。
  14. (※47)Worm:Win32/Dipasik.A(https://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?Name=Worm:Win32/Dipasik.Ablank)。
  15. (※48)Command & Controlサーバの略。多数のボットで構成されたボットネットに指令を与えるサーバ。
  16. (※49)Conficker Working Groupの観測記録(http://www.confickerworkinggroup.org/wiki/pmwiki.php/ANY/InfectionTrackingblank)。
  17. (※50)Webサーバに対するアクセスを通じて、SQLコマンドを発行し、その背後にいるデータベースを操作する攻撃。データベースの内容を権限なく閲覧、改ざんすることにより、機密情報の入手やWebコンテンツの書き換えを行う。
  18. (※51)Webクローラによる観測手法については本レポートのVol.22(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol22.pdfPDF)の「1.4.3 WebクローラによるWebサイト改ざん調査」で仕組みを紹介している。
  19. (※52)2015年7月のAngler観測状況や、その機能については本レポートのVol.28(http://www.iij.ad.jp/dev/report/iir/pdf/iir_vol28.pdfPDF)の「1.4.2 猛威を振るうAngler Exploit Kit」で詳しく紹介している。
  20. (※53)同種の詐欺サイトについては弊社Security Diary「ISP情報を表示して偽のサポート窓口へ誘導する詐欺サイトに関する注意喚起」(https://sect.iij.ad.jp/d/2015/12/258504.htmlblank)で詳しく紹介している。
1.インフラストラクチャセキュリティ

ページの終わりです

ページの先頭へ戻る