- GIDEON
- GIDEON STAFF BLOG
Miraiと呼ばれるマルウェア感染によるDDoS攻撃の観測
当該攻撃情報をNICT からライセンスされたサイバー攻撃情報から解析した結果
| 順位 | 国コード | 国名 |
|---|---|---|
| 1 | TH | タイ |
| 2 | IR | イラン |
| 3 | TR | トルコ |
| 4 | IT | イタリア |
| 5 | RU | ロシア |
| 6 | GB | イギリス |
| 7 | AU | オーストラリア |
| 8 | CN | 中国 |
| 9 | US | アメリカ |
| 10 | SE | スウェーデン |
マルウェアの影響を受けたIoT機器は主に、家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダだと 言われており、亜種のBashlineの感染を含め100万ものIoT機器のボットネットが構築さてれいると報告されている。
加害者とならないためにも、IoT機器のセキュリティ管理を強化すると同時に、Cyber Cleanerによって不正な通信を遮断する ことも有効な対策となると考えます。
DDoS攻撃の状況
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。
| 順位 | 国コード | 国名 | IPアドレス |
|---|---|---|---|
| 1 | SC | セーシェル | 93.174.93.xxx |
| 2 | RU | ロシア | 185.94.111.xxx |
| 3 | DE | ドイツ | 5.189.187.xxx |
| 4 | CN | 中国 | 218.87.109.253.xxx |
| 5 | CN | 中国 | 110.90.126.xxx |
| 6 | CN | 中国 | 36.32.24.xxx |
| 7 | RU | ロシア | 185.70.105.xxx |
| 8 | RU | ロシア | 191.96.249.xxx |
| 9 | SC | セーシェル | 94.102.49.xxx |
| 10 | US | アメリカ | 12.36.121.xxx |
特にセーシェルからの継続的な攻撃は1ヶ月以上続いており、サイトが乗っ取られている可能性が高い。
| 順位 | 国コード | 国名 |
|---|---|---|
| 1 | CN | 中国 |
| 2 | US | アメリカ |
| 3 | TW | 台湾 |
| 4 | RU | ロシア |
| 5 | VN | ベトナム |
| 6 | KR | 韓国 |
| 7 | SC | セーシェル |
| 8 | BR | ブラジル |
| 9 | TR | トルコ |
| 10 | NL | オランダ |
中国の東武沿岸の中央部から南部地域の通信大手が集中している地域からの攻撃が多い。
| 順位 | 国名 | ポート番号(サービス) |
|---|---|---|
| 1 | 中国 | 23(telnet) |
| 2 | ブラジル | 23(telnet) |
| 3 | ベトナム | 23(telnet) |
| 4 | 台湾 | 23(telnet) |
| 5 | 韓国 | 23(telnet) |
| 6 | ウクライナ | 23(telnet) |
| 7 | トルコ | 23(telnet) |
| 8 | 中国 | 50382(Xsan) |
| 9 | 中国 | 50390(Xsan) |
| 10 | ルーマニア | 23(telnet) |
この背景にはオープンなOSを利用する通信機器(監視カメラ等)の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。
DDoS攻撃の状況を解析した。
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。
| 順位 | 国コード | 国名 | IPアドレス |
|---|---|---|---|
| 1 | SC | セーシェル | 93.174.93.xxx |
| 2 | LT | リトアニア | 185.130.6.xxx |
| 3 | DE | ドイツ | 146.0.238.xxx |
| 4 | CN | 中国 | 60.168.147.xxx |
| 5 | BG | ブルガリア | 94.26.62.xxx |
| 6 | CN | 中国 | 101.68.108.xxx |
| 7 | US | アメリカ | 207.254.56.xxx |
| 8 | CN | 中国 | 110.90.126.xxx |
| 9 | RU | ロシア | 185.94.111.xxx |
| 10 | DE | ドイツ | ,5.189.191.xxx |
軍事的な影響を受けた場合、偏在的に特定国からの攻撃が多くなる傾向があるので、国別に対策したい。
| 順位 | 国コード | 国名 |
|---|---|---|
| 1 | VN | ベトナム |
| 2 | CN | 中国 |
| 3 | KR | 韓国 |
| 4 | RU | ロシア |
| 5 | US | アメリカ |
| 6 | RO | ルーマニア |
| 7 | DE | ドイツ |
| 8 | BR | ブラジル |
| 9 | SC | セーシェル |
| 10 | TW | 台湾 |
ベトナムがボット化し広域に攻撃されていることが判明した。
リオのオリンピックが終了し、ブラジルからの攻撃が激減したことが特筆すべき傾向である。
| 順位 | 国名 | ポート番号(サービス) |
|---|---|---|
| 1 | ベトナム | 23(telnet) |
| 2 | 中国 | 23(telnet) |
| 3 | 韓国 | 23(telnet) |
| 4 | ブラジル | 23(telnet) |
| 5 | ロシア | 23(telnet) |
| 6 | 台湾 | 23(telnet) |
| 7 | 中国 | 50382(Xsan) |
| 8 | 中国 | 50390(Xsan) |
| 9 | ルーマニア | 23(telnet) |
| 10 | ベトナム | 2323(3d-nfsd) |
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。
情報流出の経路となっているダウンロードサイトはどこのISPが利用されているか分析してみた。
Kaspersky からライセンスされたボットネットおよびC&Cサーバ、ダウンロードサイト、フィッシングサイト情報から解析結果を記載する。
結論から言うと、全世界のインターネット通信量の8割を占めると言われているUS(米国)が情報流出経路に利用されている実態が分かった。
個別のホスト名は記載できないが、特定のシステム環境が狙われた可能性がある。最近のランサム対策には米国とのアクセスを特に注意すべきである。
最近のウイルス、スパム配信元と全く異なる経路で情報流出が行われていることが判明した。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | LLCGoDaddy.com |
| 2 | US | CloudFlare |
| 3 | DE | SERVERBLOCK |
| 4 | US | HostDime.com |
| 5 | FR | OVHSAS |
| 6 | US | Amazon.com |
| 7 | DE | HetznerOnlineGmbH |
| 8 | US | UnifiedLayer |
| 9 | US | CyrusOneLLC |
| 10 | US | HetznerOnlineAG |
上位のISP LLCGoDaddy.com 及び CloudFlareでTOP10の22%を占める。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | CloudFlare |
| 2 | US | LLCGoDaddy.com |
| 3 | FR | OVHSAS |
| 4 | US | Amazon.com |
| 5 | DE | SERVERBLOCK |
| 6 | UA | UaserversNetwork |
| 7 | DE | HetznerOnlineGmbH |
| 8 | DE | HetznerOnlineAG |
| 9 | RU | AvguroTechnologiesLtd. |
| 10 | NL | DigitalOcean |
最新のホームページ作成環境にセキュリティホールがありそこを狙われたものと考えられる。
ドイツのホスティングサーバもねらわれているようだ。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | CloudFlare |
| 2 | US | LLCGoDaddy.com |
| 3 | US | Take2Hosting |
| 4 | US | CyrusOneLLC |
| 5 | US | WholeSaleInternet |
| 6 | JP | EquinixAsiaPacific |
| 7 | US | UnifiedLayer |
| 8 | US | GMO-Z.comUSA |
| 9 | US | Enzu. |
| 10 | SG | PsychzNetworks |
ただし、フィッシングサイトは数が大幅に減ってきており、ダウンロードサイト数の1/20程度にすぎない。
理由は、フィッシングサイトの痕跡が追跡される可能性が高いからだと考えられる。
ランサムウェア
2015年の末から2016年5月まで猛威を振るったランサムウェアの対策を検討する。
当社で解析した、約2000種類のランサムウェアの97%以上がZIPファイル形式でメールに添付されており、このZIPファイルをクリックするとJavaScriptが実行され、ランサムウェアを別のサイトからダウンロードしてくる仕組みになっている。残りの3%は添付されたZIPファイルを実行すると、ランサムウェアそのものが実行される。
ランサムウェアの特徴は身代金を請求することと、この請求に対して支払いの対価をビットコインを介して求めてくることである。さらに、当社の調査により、このダウンロードサーバにアメリカの大手ホスティング会社のサイトが利用されたことが判明した。比較的新しいシステム構築を行っているホスティング会社が大規模に利用されたことは注目される。システムの脆弱性を絶えず補修することは困難であるが、一斉にハッキングする準備周到さが拡散の原因となったと考えられる。
ランサムウェア対策(実害を及ぼすマルウェア対策)は、喫急の課題と考え、Cyber Cleanerでもダウンロード経路の遮断対策を行うことにした。対応が出遅れたことは否めないが、今後も最新のマルウェアに対応できるよう情報収集を行うと同時に、国内での情報共有化を図っていく方針である。
