- GIDEON
- GIDEON STAFF BLOG
2016/09/30
DDoS攻撃の解析(2016/09/30 9:00 現在)
トップ10にセーシェル、リトアニア、ブルガリアが占める割合が多く特異な攻撃パターンが観測された。
軍事的な影響を受けた場合、偏在的に特定国からの攻撃が多くなる傾向があるので、国別に対策したい。
最近の傾向として、ウイルス、スパムメールがベトナムやインド等の東南アジアから送信されている。
ベトナムがボット化し広域に攻撃されていることが判明した。
リオのオリンピックが終了し、ブラジルからの攻撃が激減したことが特筆すべき傾向である。
ポート番号別国別では23番ポート(telnetサービス)攻撃が大半を占める。この背景にはオープンなOSを利用する通信機器(監視カメラ等)
の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。
DDoS攻撃の状況を解析した。
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。
| 順位 | 国コード | 国名 | IPアドレス |
|---|---|---|---|
| 1 | SC | セーシェル | 93.174.93.xxx |
| 2 | LT | リトアニア | 185.130.6.xxx |
| 3 | DE | ドイツ | 146.0.238.xxx |
| 4 | CN | 中国 | 60.168.147.xxx |
| 5 | BG | ブルガリア | 94.26.62.xxx |
| 6 | CN | 中国 | 101.68.108.xxx |
| 7 | US | アメリカ | 207.254.56.xxx |
| 8 | CN | 中国 | 110.90.126.xxx |
| 9 | RU | ロシア | 185.94.111.xxx |
| 10 | DE | ドイツ | ,5.189.191.xxx |
軍事的な影響を受けた場合、偏在的に特定国からの攻撃が多くなる傾向があるので、国別に対策したい。
| 順位 | 国コード | 国名 |
|---|---|---|
| 1 | VN | ベトナム |
| 2 | CN | 中国 |
| 3 | KR | 韓国 |
| 4 | RU | ロシア |
| 5 | US | アメリカ |
| 6 | RO | ルーマニア |
| 7 | DE | ドイツ |
| 8 | BR | ブラジル |
| 9 | SC | セーシェル |
| 10 | TW | 台湾 |
ベトナムがボット化し広域に攻撃されていることが判明した。
リオのオリンピックが終了し、ブラジルからの攻撃が激減したことが特筆すべき傾向である。
| 順位 | 国名 | ポート番号(サービス) |
|---|---|---|
| 1 | ベトナム | 23(telnet) |
| 2 | 中国 | 23(telnet) |
| 3 | 韓国 | 23(telnet) |
| 4 | ブラジル | 23(telnet) |
| 5 | ロシア | 23(telnet) |
| 6 | 台湾 | 23(telnet) |
| 7 | 中国 | 50382(Xsan) |
| 8 | 中国 | 50390(Xsan) |
| 9 | ルーマニア | 23(telnet) |
| 10 | ベトナム | 2323(3d-nfsd) |
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。
情報流出経路の解明 ISP解析(2016/09/14 14時47分 現在)
圧倒的にUS(米国)のISPがボットネットに利用されていることがわかる。
上位のISP LLCGoDaddy.com 及び CloudFlareでTOP10の22%を占める。
マルウェアのダウンロードも上位2社のISPはダントツでTOP10の46%を占める。
最新のホームページ作成環境にセキュリティホールがありそこを狙われたものと考えられる。
ドイツのホスティングサーバもねらわれているようだ。
ボットネット同様、フィシングサイトの多くはUS(米国)が占めているのが特徴的である。
ただし、フィッシングサイトは数が大幅に減ってきており、ダウンロードサイト数の1/20程度にすぎない。
理由は、フィッシングサイトの痕跡が追跡される可能性が高いからだと考えられる。
情報流出の経路となっているダウンロードサイトはどこのISPが利用されているか分析してみた。
Kaspersky からライセンスされたボットネットおよびC&Cサーバ、ダウンロードサイト、フィッシングサイト情報から解析結果を記載する。
結論から言うと、全世界のインターネット通信量の8割を占めると言われているUS(米国)が情報流出経路に利用されている実態が分かった。
個別のホスト名は記載できないが、特定のシステム環境が狙われた可能性がある。最近のランサム対策には米国とのアクセスを特に注意すべきである。
最近のウイルス、スパム配信元と全く異なる経路で情報流出が行われていることが判明した。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | LLCGoDaddy.com |
| 2 | US | CloudFlare |
| 3 | DE | SERVERBLOCK |
| 4 | US | HostDime.com |
| 5 | FR | OVHSAS |
| 6 | US | Amazon.com |
| 7 | DE | HetznerOnlineGmbH |
| 8 | US | UnifiedLayer |
| 9 | US | CyrusOneLLC |
| 10 | US | HetznerOnlineAG |
上位のISP LLCGoDaddy.com 及び CloudFlareでTOP10の22%を占める。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | CloudFlare |
| 2 | US | LLCGoDaddy.com |
| 3 | FR | OVHSAS |
| 4 | US | Amazon.com |
| 5 | DE | SERVERBLOCK |
| 6 | UA | UaserversNetwork |
| 7 | DE | HetznerOnlineGmbH |
| 8 | DE | HetznerOnlineAG |
| 9 | RU | AvguroTechnologiesLtd. |
| 10 | NL | DigitalOcean |
最新のホームページ作成環境にセキュリティホールがありそこを狙われたものと考えられる。
ドイツのホスティングサーバもねらわれているようだ。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | CloudFlare |
| 2 | US | LLCGoDaddy.com |
| 3 | US | Take2Hosting |
| 4 | US | CyrusOneLLC |
| 5 | US | WholeSaleInternet |
| 6 | JP | EquinixAsiaPacific |
| 7 | US | UnifiedLayer |
| 8 | US | GMO-Z.comUSA |
| 9 | US | Enzu. |
| 10 | SG | PsychzNetworks |
ただし、フィッシングサイトは数が大幅に減ってきており、ダウンロードサイト数の1/20程度にすぎない。
理由は、フィッシングサイトの痕跡が追跡される可能性が高いからだと考えられる。
