- GIDEON
- GIDEON STAFF BLOG
Miraiと呼ばれるマルウェア感染によるDDoS攻撃の観測
当該攻撃情報をNICT からライセンスされたサイバー攻撃情報から解析した結果
| 順位 | 国コード | 国名 |
|---|---|---|
| 1 | TH | タイ |
| 2 | IR | イラン |
| 3 | TR | トルコ |
| 4 | IT | イタリア |
| 5 | RU | ロシア |
| 6 | GB | イギリス |
| 7 | AU | オーストラリア |
| 8 | CN | 中国 |
| 9 | US | アメリカ |
| 10 | SE | スウェーデン |
マルウェアの影響を受けたIoT機器は主に、家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダだと 言われており、亜種のBashlineの感染を含め100万ものIoT機器のボットネットが構築さてれいると報告されている。
加害者とならないためにも、IoT機器のセキュリティ管理を強化すると同時に、Cyber Cleanerによって不正な通信を遮断する ことも有効な対策となると考えます。
DDoS攻撃の状況
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。
| 順位 | 国コード | 国名 | IPアドレス |
|---|---|---|---|
| 1 | SC | セーシェル | 93.174.93.xxx |
| 2 | RU | ロシア | 185.94.111.xxx |
| 3 | DE | ドイツ | 5.189.187.xxx |
| 4 | CN | 中国 | 218.87.109.253.xxx |
| 5 | CN | 中国 | 110.90.126.xxx |
| 6 | CN | 中国 | 36.32.24.xxx |
| 7 | RU | ロシア | 185.70.105.xxx |
| 8 | RU | ロシア | 191.96.249.xxx |
| 9 | SC | セーシェル | 94.102.49.xxx |
| 10 | US | アメリカ | 12.36.121.xxx |
特にセーシェルからの継続的な攻撃は1ヶ月以上続いており、サイトが乗っ取られている可能性が高い。
| 順位 | 国コード | 国名 |
|---|---|---|
| 1 | CN | 中国 |
| 2 | US | アメリカ |
| 3 | TW | 台湾 |
| 4 | RU | ロシア |
| 5 | VN | ベトナム |
| 6 | KR | 韓国 |
| 7 | SC | セーシェル |
| 8 | BR | ブラジル |
| 9 | TR | トルコ |
| 10 | NL | オランダ |
中国の東武沿岸の中央部から南部地域の通信大手が集中している地域からの攻撃が多い。
| 順位 | 国名 | ポート番号(サービス) |
|---|---|---|
| 1 | 中国 | 23(telnet) |
| 2 | ブラジル | 23(telnet) |
| 3 | ベトナム | 23(telnet) |
| 4 | 台湾 | 23(telnet) |
| 5 | 韓国 | 23(telnet) |
| 6 | ウクライナ | 23(telnet) |
| 7 | トルコ | 23(telnet) |
| 8 | 中国 | 50382(Xsan) |
| 9 | 中国 | 50390(Xsan) |
| 10 | ルーマニア | 23(telnet) |
この背景にはオープンなOSを利用する通信機器(監視カメラ等)の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。
DDoS攻撃の状況を解析した。
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。
| 順位 | 国コード | 国名 | IPアドレス |
|---|---|---|---|
| 1 | SC | セーシェル | 93.174.93.xxx |
| 2 | LT | リトアニア | 185.130.6.xxx |
| 3 | DE | ドイツ | 146.0.238.xxx |
| 4 | CN | 中国 | 60.168.147.xxx |
| 5 | BG | ブルガリア | 94.26.62.xxx |
| 6 | CN | 中国 | 101.68.108.xxx |
| 7 | US | アメリカ | 207.254.56.xxx |
| 8 | CN | 中国 | 110.90.126.xxx |
| 9 | RU | ロシア | 185.94.111.xxx |
| 10 | DE | ドイツ | ,5.189.191.xxx |
軍事的な影響を受けた場合、偏在的に特定国からの攻撃が多くなる傾向があるので、国別に対策したい。
| 順位 | 国コード | 国名 |
|---|---|---|
| 1 | VN | ベトナム |
| 2 | CN | 中国 |
| 3 | KR | 韓国 |
| 4 | RU | ロシア |
| 5 | US | アメリカ |
| 6 | RO | ルーマニア |
| 7 | DE | ドイツ |
| 8 | BR | ブラジル |
| 9 | SC | セーシェル |
| 10 | TW | 台湾 |
ベトナムがボット化し広域に攻撃されていることが判明した。
リオのオリンピックが終了し、ブラジルからの攻撃が激減したことが特筆すべき傾向である。
| 順位 | 国名 | ポート番号(サービス) |
|---|---|---|
| 1 | ベトナム | 23(telnet) |
| 2 | 中国 | 23(telnet) |
| 3 | 韓国 | 23(telnet) |
| 4 | ブラジル | 23(telnet) |
| 5 | ロシア | 23(telnet) |
| 6 | 台湾 | 23(telnet) |
| 7 | 中国 | 50382(Xsan) |
| 8 | 中国 | 50390(Xsan) |
| 9 | ルーマニア | 23(telnet) |
| 10 | ベトナム | 2323(3d-nfsd) |
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。
情報流出の経路となっているダウンロードサイトはどこのISPが利用されているか分析してみた。
Kaspersky からライセンスされたボットネットおよびC&Cサーバ、ダウンロードサイト、フィッシングサイト情報から解析結果を記載する。
結論から言うと、全世界のインターネット通信量の8割を占めると言われているUS(米国)が情報流出経路に利用されている実態が分かった。
個別のホスト名は記載できないが、特定のシステム環境が狙われた可能性がある。最近のランサム対策には米国とのアクセスを特に注意すべきである。
最近のウイルス、スパム配信元と全く異なる経路で情報流出が行われていることが判明した。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | LLCGoDaddy.com |
| 2 | US | CloudFlare |
| 3 | DE | SERVERBLOCK |
| 4 | US | HostDime.com |
| 5 | FR | OVHSAS |
| 6 | US | Amazon.com |
| 7 | DE | HetznerOnlineGmbH |
| 8 | US | UnifiedLayer |
| 9 | US | CyrusOneLLC |
| 10 | US | HetznerOnlineAG |
上位のISP LLCGoDaddy.com 及び CloudFlareでTOP10の22%を占める。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | CloudFlare |
| 2 | US | LLCGoDaddy.com |
| 3 | FR | OVHSAS |
| 4 | US | Amazon.com |
| 5 | DE | SERVERBLOCK |
| 6 | UA | UaserversNetwork |
| 7 | DE | HetznerOnlineGmbH |
| 8 | DE | HetznerOnlineAG |
| 9 | RU | AvguroTechnologiesLtd. |
| 10 | NL | DigitalOcean |
最新のホームページ作成環境にセキュリティホールがありそこを狙われたものと考えられる。
ドイツのホスティングサーバもねらわれているようだ。
| 順位 | 国 | ISP名 |
|---|---|---|
| 1 | US | CloudFlare |
| 2 | US | LLCGoDaddy.com |
| 3 | US | Take2Hosting |
| 4 | US | CyrusOneLLC |
| 5 | US | WholeSaleInternet |
| 6 | JP | EquinixAsiaPacific |
| 7 | US | UnifiedLayer |
| 8 | US | GMO-Z.comUSA |
| 9 | US | Enzu. |
| 10 | SG | PsychzNetworks |
ただし、フィッシングサイトは数が大幅に減ってきており、ダウンロードサイト数の1/20程度にすぎない。
理由は、フィッシングサイトの痕跡が追跡される可能性が高いからだと考えられる。
ランサムウェア
2015年の末から2016年5月まで猛威を振るったランサムウェアの対策を検討する。
当社で解析した、約2000種類のランサムウェアの97%以上がZIPファイル形式でメールに添付されており、このZIPファイルをクリックするとJavaScriptが実行され、ランサムウェアを別のサイトからダウンロードしてくる仕組みになっている。残りの3%は添付されたZIPファイルを実行すると、ランサムウェアそのものが実行される。
ランサムウェアの特徴は身代金を請求することと、この請求に対して支払いの対価をビットコインを介して求めてくることである。さらに、当社の調査により、このダウンロードサーバにアメリカの大手ホスティング会社のサイトが利用されたことが判明した。比較的新しいシステム構築を行っているホスティング会社が大規模に利用されたことは注目される。システムの脆弱性を絶えず補修することは困難であるが、一斉にハッキングする準備周到さが拡散の原因となったと考えられる。
ランサムウェア対策(実害を及ぼすマルウェア対策)は、喫急の課題と考え、Cyber Cleanerでもダウンロード経路の遮断対策を行うことにした。対応が出遅れたことは否めないが、今後も最新のマルウェアに対応できるよう情報収集を行うと同時に、国内での情報共有化を図っていく方針である。
MyJVN チェッカーサービス
JVN - Japan Vulnerability Notes - が
[http://jvndb.jvn.jp/apis/myjvn/ セキュリティ設定チェッカ、バージョンチェッカ]のサービスを実施しています。
これらのサービスは Microsoft Windows 専用のサービスですが、
Windows の機能である USB メモリ自動実行機能の設定の確認や、
インストールされている Adobe Reader や Flash Player などの
バージョンが簡単にチェック出来ます。
最近は GENO/Gumblar と呼ばれているマルウェアなど
悪意のあるソフトウェアによる Web サイトの改ざんなどが話題になっていますが、
そういった悪意のソフトウェアによる被害を防ぐための一つの足がかりとして
こういったツールも積極的に利用すると良いでしょう。
クライムウェア
2009年6月3日(水)当社サーバで異常な数のウイルスが検知された。
すべて「トロイの木馬」と云われるウイルスで、
世界の主要なボットネットからの配信であった。
同様の報告をお客様からも頂戴したので以下に特記する。
不正かつ有害な動作を行う意図で作成されたソフトウェアプログラムの総称として
「マルウェア」という言葉がある。
このマルウェアに「クライムウェア」という新たな分類が加わった。
悪意のあるソフトウェアの中でも犯罪につながる可能性があるソフトウェアを意味する。
最近になって検出されたマルウェアの 90% 以上が
このクライムウェアであることが驚異である。
多くはトロイの木馬と呼ばれるソフトウェアで、
キー入力の履歴を記録するもの (キーロガー)、
銀行サイトの利用時にスクリーンショットを撮るもの、
他の悪性コードをダウンロードしてくるもの、
ハッカーからシステムへのリモートアクセスを可能にするもの等々がある。
これらクライムウェアに共通なのは、
機密データ (パスワードや暗証番号など) を「盗み」、
その情報を犯罪者に送信する点である。
サイバー犯罪者たちは、手に入れた機密データを悪用して
一般の利用者から金銭を盗み出す。
クライムウェアの目的は、金銭を奪取することであり、
利用者のデータを破壊するような派手な動作はしない。
そのため動作している事実がわかりにくく、
利用者はまさか自分のパソコンがクライムウェアに感染しているとは想像だにしない。
ネットでのショッピング等で利用者が入力した機密情報を、
サイバー犯罪者に悪用された例などが報告されているが、
犯人を特定することは非常に困難である。
このようなクライムウェアに関して利用者ができる対策としては
- 主要な通信ポートのみ外部へアクセスができるように制約をおこなう。
- アクセスログなどを見ながら、 クライアントが不明な任意のIPアドレスにアクセスをおこなっていないかどうか監視する。
The myth of unix security
[http://www.viruslist.com/en/weblog Kaspersky 社のブログ] によると、 FreeBSD や Linux をターゲットとしたマルウェアが発見されたとの事です。
It’s often argued that *nix systems are secure, and there are’t any viruses or malware for such systems. This hasn’t been true for a long time, as two recently detected malicious programs prove.Kaspersky 社の Blog より
超訳してみると、 『多くの場合、unix システムはセキュリティを確保しているので、 ウィルスやマルウェアはありえないと主張されていた。 これらの事は既に真実ではない事が最近検出された2種類の悪意あるプログラム により証明されている。』みたいな事が言われています。
今回は単なる perl スクリプトと FreeBSD や Linux 上で実行可能な 暗号化された perl スクリプトの 2 種類のマルウェアが発見されたらしく、 それぞれ迷惑メイルを送信する「ボット」や、 セキュリティソフト風の怪しいソフトウェアを販売するための 詐欺サイトを宣伝・販売するウェブサイトを構築してしまうそうです。
Windows に比較すれば FreeBSD や Linux の方が多少は安全ですが、
それはあくまでも相対的な比較においての安全であり
絶対的に安全という訳ではありません。
そんな事はちょっと考えてみれば常識だと思うのですが、
世の中には「Linux だから安全」という様な事を妄信している人もいる様です。
システムにセキュリティホール(脆弱性)が存在する可能性がある限り、
『セキュリティに対して万全』とは言えません。
日頃からセキュリティ情報には注意を払い、適宜対策を実施することが肝要です。
DNS DDoS
詐称された IP address から `. IN NS' という query を投げる
DNS DDoS 攻撃が最近流行っているそうです。
この DNS 問い合わせに対して root servers のリストを応答してしまうと
数百バイト程度の応答が発生してしまうので、
詐称された IP address に膨大なトラヒックが集中してしまい
結果として DDoS 攻撃
分散型サービス拒否攻撃(Distributed Denial of Service attack)
となってしまいます。
bind はバージョン 9.5 で既に対策が実施されており `. IN NS' 問い合わせに `refused' と応答するので、 対策されていない DNS の管理者は早急に対策する方が良いでしょう。
セキュリティニュース
2008.11.11 にMcColo がプロバイダより切断された後の経過をフォローする。
2008.11.15
Srizbi および Rustock の配信サーバ McColo C&C サーバ (米国サンノゼ IPアドレス:208.66.194.22) からの配信が再開した。実はサーバが物理的に撤去されていないことが判明。 まだサンノゼの Market Post Tower で活動を続けているようだ。
2008.11.16
Rustock の配信サーバ C&C サーバが McColo から ロシアのデータセンターに移動した。
2008.11.25
Srizbi に感染しているボットがよみがえった。 新しい実行ファイルに更新され活動を再開した。その配信サーバはエストニアにあり、 ロシア語 (koi8-r) でMIMEエンコードしたスパムであった。 このことから当初ロシアにある SMTP サーバにターゲットにしているようだ。
2008.12.01
Srizbi および Rustock の配信サーバは現在のところ、 大半が停止し、ごくわずかな配信サーバを残すに至った。Srizbi、Rustock に代わって Pushdo が代替ボットになっている。
Cutwail というワームプログラムは迷惑メールの送信および Cutwail を最新にアップデートするために使われるため、 このプログラムの配信を止めることでスパム配信を停止できる。
[http://blog.fireeye.com/research/2008/11/index.html 出典]
ICANNが悪質なドメイン登録業者を取り消し
ITmedia News - 悪名高きドメイン登録業者、ICANNが認定取り消しへ
ICANN - EstDomains Update: Notice of Termination Stayed
取り消しの理由はESTDomainsの社長が有罪になったからとのことで、悪質なドメイン登録を許していたからではない模様。
今回の措置が効果があったとしても、悪質なドメイン登録業者であっても代表者が有罪にならなければ登録業者としての取り消しができないということを示しており、必ずしも良いニュースとはいえない。
