本文へジャンプ

GIDEON STAFF BLOG

ボットネットによるDDoS攻撃(2016/12/8 9:00 現在)

Miraiと呼ばれるマルウェア感染によるDDoS攻撃の観測
当該攻撃情報をNICT からライセンスされたサイバー攻撃情報から解析した結果

ボット感染 国別トップ10
順位国コード国名
1THタイ
2IRイラン
3TRトルコ
4ITイタリア
5RUロシア
6GBイギリス
7AUオーストラリア
8CN中国
9USアメリカ
10SEスウェーデン
トップ10の中でもタイが圧倒的に感染しているボットネットが多く、バンコクにある主要なISPが狙われた。
マルウェアの影響を受けたIoT機器は主に、家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダだと 言われており、亜種のBashlineの感染を含め100万ものIoT機器のボットネットが構築さてれいると報告されている。
加害者とならないためにも、IoT機器のセキュリティ管理を強化すると同時に、Cyber Cleanerによって不正な通信を遮断する ことも有効な対策となると考えます。

DDoS攻撃の解析(2016/10/17 9:00 現在)

DDoS攻撃の状況
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。

IPアドレス トップ10
順位国コード国名IPアドレス
1SCセーシェル93.174.93.xxx
2RUロシア185.94.111.xxx
3DEドイツ5.189.187.xxx
4CN中国218.87.109.253.xxx
5CN中国110.90.126.xxx
6CN中国36.32.24.xxx
7RUロシア185.70.105.xxx
8RUロシア191.96.249.xxx
9SCセーシェル94.102.49.xxx
10USアメリカ12.36.121.xxx
トップ10にセーシェル、ロシア、中国が占める割合が多い。
特にセーシェルからの継続的な攻撃は1ヶ月以上続いており、サイトが乗っ取られている可能性が高い。

国別 トップ10
順位国コード国名
1CN中国
2USアメリカ
3TW台湾
4RUロシア
5VNベトナム
6KR韓国
7SCセーシェル
8BRブラジル
9TRトルコ
10NLオランダ
中国、アメリカ、台湾からの攻撃が大半を占める。特に中国からの攻撃が多くなってきている。
中国の東武沿岸の中央部から南部地域の通信大手が集中している地域からの攻撃が多い。

ポート別国別 トップ10
順位国名ポート番号(サービス)
1中国23(telnet)
2ブラジル23(telnet)
3ベトナム23(telnet)
4台湾23(telnet)
5韓国23(telnet)
6ウクライナ23(telnet)
7トルコ23(telnet)
8中国50382(Xsan)
9中国50390(Xsan)
10ルーマニア23(telnet)
23番ポート(telnetサービス)攻撃が大半を占める。この傾向は長期的に持続している。 Windowsのサービスポートへの攻撃も相変わらず観測されるものの、23番ポートへの攻撃に比べると少ない。
この背景にはオープンなOSを利用する通信機器(監視カメラ等)の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。

DDoS攻撃の解析(2016/09/30 9:00 現在)

DDoS攻撃の状況を解析した。
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。

IPアドレス トップ10
順位国コード国名IPアドレス
1SCセーシェル93.174.93.xxx
2LTリトアニア185.130.6.xxx
3DEドイツ146.0.238.xxx
4CN中国60.168.147.xxx
5BGブルガリア94.26.62.xxx
6CN中国101.68.108.xxx
7USアメリカ207.254.56.xxx
8CN中国110.90.126.xxx
9RUロシア185.94.111.xxx
10DEドイツ,5.189.191.xxx
トップ10にセーシェル、リトアニア、ブルガリアが占める割合が多く特異な攻撃パターンが観測された。
軍事的な影響を受けた場合、偏在的に特定国からの攻撃が多くなる傾向があるので、国別に対策したい。

国別 トップ10
順位国コード国名
1VNベトナム
2CN中国
3KR韓国
4RUロシア
5USアメリカ
6ROルーマニア
7DEドイツ
8BRブラジル
9SCセーシェル
10TW台湾
最近の傾向として、ウイルス、スパムメールがベトナムやインド等の東南アジアから送信されている。
ベトナムがボット化し広域に攻撃されていることが判明した。
リオのオリンピックが終了し、ブラジルからの攻撃が激減したことが特筆すべき傾向である。

ポート別国別 トップ10
順位国名ポート番号(サービス)
1ベトナム23(telnet)
2中国23(telnet)
3韓国23(telnet)
4ブラジル23(telnet)
5ロシア23(telnet)
6台湾23(telnet)
7中国50382(Xsan)
8中国50390(Xsan)
9ルーマニア23(telnet)
10ベトナム2323(3d-nfsd)
ポート番号別国別では23番ポート(telnetサービス)攻撃が大半を占める。この背景にはオープンなOSを利用する通信機器(監視カメラ等) の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。

情報流出経路の解明 ISP解析(2016/09/14 14時47分 現在)

情報流出の経路となっているダウンロードサイトはどこのISPが利用されているか分析してみた。
Kaspersky からライセンスされたボットネットおよびC&Cサーバ、ダウンロードサイト、フィッシングサイト情報から解析結果を記載する。

結論から言うと、全世界のインターネット通信量の8割を占めると言われているUS(米国)が情報流出経路に利用されている実態が分かった。
個別のホスト名は記載できないが、特定のシステム環境が狙われた可能性がある。最近のランサム対策には米国とのアクセスを特に注意すべきである。
最近のウイルス、スパム配信元と全く異なる経路で情報流出が行われていることが判明した。

ボットネットおよびC&Cサーバ ISP トップ10
順位ISP名
1USLLCGoDaddy.com
2USCloudFlare
3DESERVERBLOCK
4USHostDime.com
5FROVHSAS
6USAmazon.com
7DEHetznerOnlineGmbH
8USUnifiedLayer
9USCyrusOneLLC
10US HetznerOnlineAG
圧倒的にUS(米国)のISPがボットネットに利用されていることがわかる。
上位のISP LLCGoDaddy.com 及び CloudFlareでTOP10の22%を占める。

ダウンロードサイト ISP トップ10
順位ISP名
1USCloudFlare
2USLLCGoDaddy.com
3FROVHSAS
4USAmazon.com
5DESERVERBLOCK
6UAUaserversNetwork
7DEHetznerOnlineGmbH
8DEHetznerOnlineAG
9RUAvguroTechnologiesLtd.
10NLDigitalOcean
マルウェアのダウンロードも上位2社のISPはダントツでTOP10の46%を占める。
最新のホームページ作成環境にセキュリティホールがありそこを狙われたものと考えられる。
ドイツのホスティングサーバもねらわれているようだ。

フィッシングサイト ISP トップ10
順位ISP名
1USCloudFlare
2USLLCGoDaddy.com
3USTake2Hosting
4USCyrusOneLLC
5USWholeSaleInternet
6JPEquinixAsiaPacific
7USUnifiedLayer
8USGMO-Z.comUSA
9USEnzu.
10SGPsychzNetworks
ボットネット同様、フィシングサイトの多くはUS(米国)が占めているのが特徴的である。
ただし、フィッシングサイトは数が大幅に減ってきており、ダウンロードサイト数の1/20程度にすぎない。
理由は、フィッシングサイトの痕跡が追跡される可能性が高いからだと考えられる。

ランサムウェア

 2015年の末から2016年5月まで猛威を振るったランサムウェアの対策を検討する。
 当社で解析した、約2000種類のランサムウェアの97%以上がZIPファイル形式でメールに添付されており、このZIPファイルをクリックするとJavaScriptが実行され、ランサムウェアを別のサイトからダウンロードしてくる仕組みになっている。残りの3%は添付されたZIPファイルを実行すると、ランサムウェアそのものが実行される。

 ランサムウェアの特徴は身代金を請求することと、この請求に対して支払いの対価をビットコインを介して求めてくることである。さらに、当社の調査により、このダウンロードサーバにアメリカの大手ホスティング会社のサイトが利用されたことが判明した。比較的新しいシステム構築を行っているホスティング会社が大規模に利用されたことは注目される。システムの脆弱性を絶えず補修することは困難であるが、一斉にハッキングする準備周到さが拡散の原因となったと考えられる。

 ランサムウェア対策(実害を及ぼすマルウェア対策)は、喫急の課題と考え、Cyber Cleanerでもダウンロード経路の遮断対策を行うことにした。対応が出遅れたことは否めないが、今後も最新のマルウェアに対応できるよう情報収集を行うと同時に、国内での情報共有化を図っていく方針である。