本文へジャンプ

GIDEON STAFF BLOG

DDoS攻撃の解析(2016/09/30 9:00 現在)

DDoS攻撃の状況を解析した。
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。

IPアドレス トップ10
順位国コード国名IPアドレス
1SCセーシェル93.174.93.xxx
2LTリトアニア185.130.6.xxx
3DEドイツ146.0.238.xxx
4CN中国60.168.147.xxx
5BGブルガリア94.26.62.xxx
6CN中国101.68.108.xxx
7USアメリカ207.254.56.xxx
8CN中国110.90.126.xxx
9RUロシア185.94.111.xxx
10DEドイツ,5.189.191.xxx
トップ10にセーシェル、リトアニア、ブルガリアが占める割合が多く特異な攻撃パターンが観測された。
軍事的な影響を受けた場合、偏在的に特定国からの攻撃が多くなる傾向があるので、国別に対策したい。

国別 トップ10
順位国コード国名
1VNベトナム
2CN中国
3KR韓国
4RUロシア
5USアメリカ
6ROルーマニア
7DEドイツ
8BRブラジル
9SCセーシェル
10TW台湾
最近の傾向として、ウイルス、スパムメールがベトナムやインド等の東南アジアから送信されている。
ベトナムがボット化し広域に攻撃されていることが判明した。
リオのオリンピックが終了し、ブラジルからの攻撃が激減したことが特筆すべき傾向である。

ポート別国別 トップ10
順位国名ポート番号(サービス)
1ベトナム23(telnet)
2中国23(telnet)
3韓国23(telnet)
4ブラジル23(telnet)
5ロシア23(telnet)
6台湾23(telnet)
7中国50382(Xsan)
8中国50390(Xsan)
9ルーマニア23(telnet)
10ベトナム2323(3d-nfsd)
ポート番号別国別では23番ポート(telnetサービス)攻撃が大半を占める。この背景にはオープンなOSを利用する通信機器(監視カメラ等) の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。

情報流出経路の解明 ISP解析(2016/09/14 14時47分 現在)

情報流出の経路となっているダウンロードサイトはどこのISPが利用されているか分析してみた。
Kaspersky からライセンスされたボットネットおよびC&Cサーバ、ダウンロードサイト、フィッシングサイト情報から解析結果を記載する。

結論から言うと、全世界のインターネット通信量の8割を占めると言われているUS(米国)が情報流出経路に利用されている実態が分かった。
個別のホスト名は記載できないが、特定のシステム環境が狙われた可能性がある。最近のランサム対策には米国とのアクセスを特に注意すべきである。
最近のウイルス、スパム配信元と全く異なる経路で情報流出が行われていることが判明した。

ボットネットおよびC&Cサーバ ISP トップ10
順位ISP名
1USLLCGoDaddy.com
2USCloudFlare
3DESERVERBLOCK
4USHostDime.com
5FROVHSAS
6USAmazon.com
7DEHetznerOnlineGmbH
8USUnifiedLayer
9USCyrusOneLLC
10US HetznerOnlineAG
圧倒的にUS(米国)のISPがボットネットに利用されていることがわかる。
上位のISP LLCGoDaddy.com 及び CloudFlareでTOP10の22%を占める。

ダウンロードサイト ISP トップ10
順位ISP名
1USCloudFlare
2USLLCGoDaddy.com
3FROVHSAS
4USAmazon.com
5DESERVERBLOCK
6UAUaserversNetwork
7DEHetznerOnlineGmbH
8DEHetznerOnlineAG
9RUAvguroTechnologiesLtd.
10NLDigitalOcean
マルウェアのダウンロードも上位2社のISPはダントツでTOP10の46%を占める。
最新のホームページ作成環境にセキュリティホールがありそこを狙われたものと考えられる。
ドイツのホスティングサーバもねらわれているようだ。

フィッシングサイト ISP トップ10
順位ISP名
1USCloudFlare
2USLLCGoDaddy.com
3USTake2Hosting
4USCyrusOneLLC
5USWholeSaleInternet
6JPEquinixAsiaPacific
7USUnifiedLayer
8USGMO-Z.comUSA
9USEnzu.
10SGPsychzNetworks
ボットネット同様、フィシングサイトの多くはUS(米国)が占めているのが特徴的である。
ただし、フィッシングサイトは数が大幅に減ってきており、ダウンロードサイト数の1/20程度にすぎない。
理由は、フィッシングサイトの痕跡が追跡される可能性が高いからだと考えられる。