本文へジャンプ

GIDEON STAFF BLOG

ボットネットによるDDoS攻撃(2016/12/8 9:00 現在)

Miraiと呼ばれるマルウェア感染によるDDoS攻撃の観測
当該攻撃情報をNICT からライセンスされたサイバー攻撃情報から解析した結果

ボット感染 国別トップ10
順位国コード国名
1THタイ
2IRイラン
3TRトルコ
4ITイタリア
5RUロシア
6GBイギリス
7AUオーストラリア
8CN中国
9USアメリカ
10SEスウェーデン
トップ10の中でもタイが圧倒的に感染しているボットネットが多く、バンコクにある主要なISPが狙われた。
マルウェアの影響を受けたIoT機器は主に、家庭用ルータ、ネットワークカメラ、デジタルビデオレコーダだと 言われており、亜種のBashlineの感染を含め100万ものIoT機器のボットネットが構築さてれいると報告されている。
加害者とならないためにも、IoT機器のセキュリティ管理を強化すると同時に、Cyber Cleanerによって不正な通信を遮断する ことも有効な対策となると考えます。

DDoS攻撃の解析(2016/10/17 9:00 現在)

DDoS攻撃の状況
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。

IPアドレス トップ10
順位国コード国名IPアドレス
1SCセーシェル93.174.93.xxx
2RUロシア185.94.111.xxx
3DEドイツ5.189.187.xxx
4CN中国218.87.109.253.xxx
5CN中国110.90.126.xxx
6CN中国36.32.24.xxx
7RUロシア185.70.105.xxx
8RUロシア191.96.249.xxx
9SCセーシェル94.102.49.xxx
10USアメリカ12.36.121.xxx
トップ10にセーシェル、ロシア、中国が占める割合が多い。
特にセーシェルからの継続的な攻撃は1ヶ月以上続いており、サイトが乗っ取られている可能性が高い。

国別 トップ10
順位国コード国名
1CN中国
2USアメリカ
3TW台湾
4RUロシア
5VNベトナム
6KR韓国
7SCセーシェル
8BRブラジル
9TRトルコ
10NLオランダ
中国、アメリカ、台湾からの攻撃が大半を占める。特に中国からの攻撃が多くなってきている。
中国の東武沿岸の中央部から南部地域の通信大手が集中している地域からの攻撃が多い。

ポート別国別 トップ10
順位国名ポート番号(サービス)
1中国23(telnet)
2ブラジル23(telnet)
3ベトナム23(telnet)
4台湾23(telnet)
5韓国23(telnet)
6ウクライナ23(telnet)
7トルコ23(telnet)
8中国50382(Xsan)
9中国50390(Xsan)
10ルーマニア23(telnet)
23番ポート(telnetサービス)攻撃が大半を占める。この傾向は長期的に持続している。 Windowsのサービスポートへの攻撃も相変わらず観測されるものの、23番ポートへの攻撃に比べると少ない。
この背景にはオープンなOSを利用する通信機器(監視カメラ等)の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。

DDoS攻撃の解析(2016/09/30 9:00 現在)

DDoS攻撃の状況を解析した。
NICT からライセンスされたサイバー攻撃情報から解析結果を記載する。

IPアドレス トップ10
順位国コード国名IPアドレス
1SCセーシェル93.174.93.xxx
2LTリトアニア185.130.6.xxx
3DEドイツ146.0.238.xxx
4CN中国60.168.147.xxx
5BGブルガリア94.26.62.xxx
6CN中国101.68.108.xxx
7USアメリカ207.254.56.xxx
8CN中国110.90.126.xxx
9RUロシア185.94.111.xxx
10DEドイツ,5.189.191.xxx
トップ10にセーシェル、リトアニア、ブルガリアが占める割合が多く特異な攻撃パターンが観測された。
軍事的な影響を受けた場合、偏在的に特定国からの攻撃が多くなる傾向があるので、国別に対策したい。

国別 トップ10
順位国コード国名
1VNベトナム
2CN中国
3KR韓国
4RUロシア
5USアメリカ
6ROルーマニア
7DEドイツ
8BRブラジル
9SCセーシェル
10TW台湾
最近の傾向として、ウイルス、スパムメールがベトナムやインド等の東南アジアから送信されている。
ベトナムがボット化し広域に攻撃されていることが判明した。
リオのオリンピックが終了し、ブラジルからの攻撃が激減したことが特筆すべき傾向である。

ポート別国別 トップ10
順位国名ポート番号(サービス)
1ベトナム23(telnet)
2中国23(telnet)
3韓国23(telnet)
4ブラジル23(telnet)
5ロシア23(telnet)
6台湾23(telnet)
7中国50382(Xsan)
8中国50390(Xsan)
9ルーマニア23(telnet)
10ベトナム2323(3d-nfsd)
ポート番号別国別では23番ポート(telnetサービス)攻撃が大半を占める。この背景にはオープンなOSを利用する通信機器(監視カメラ等) の脆弱性を狙った攻撃と考えられる。
中国からは常套攻撃であるApple社のファイルシステム(Xsan)への攻撃が多い。

情報流出経路の解明 ISP解析(2016/09/14 14時47分 現在)

情報流出の経路となっているダウンロードサイトはどこのISPが利用されているか分析してみた。
Kaspersky からライセンスされたボットネットおよびC&Cサーバ、ダウンロードサイト、フィッシングサイト情報から解析結果を記載する。

結論から言うと、全世界のインターネット通信量の8割を占めると言われているUS(米国)が情報流出経路に利用されている実態が分かった。
個別のホスト名は記載できないが、特定のシステム環境が狙われた可能性がある。最近のランサム対策には米国とのアクセスを特に注意すべきである。
最近のウイルス、スパム配信元と全く異なる経路で情報流出が行われていることが判明した。

ボットネットおよびC&Cサーバ ISP トップ10
順位ISP名
1USLLCGoDaddy.com
2USCloudFlare
3DESERVERBLOCK
4USHostDime.com
5FROVHSAS
6USAmazon.com
7DEHetznerOnlineGmbH
8USUnifiedLayer
9USCyrusOneLLC
10US HetznerOnlineAG
圧倒的にUS(米国)のISPがボットネットに利用されていることがわかる。
上位のISP LLCGoDaddy.com 及び CloudFlareでTOP10の22%を占める。

ダウンロードサイト ISP トップ10
順位ISP名
1USCloudFlare
2USLLCGoDaddy.com
3FROVHSAS
4USAmazon.com
5DESERVERBLOCK
6UAUaserversNetwork
7DEHetznerOnlineGmbH
8DEHetznerOnlineAG
9RUAvguroTechnologiesLtd.
10NLDigitalOcean
マルウェアのダウンロードも上位2社のISPはダントツでTOP10の46%を占める。
最新のホームページ作成環境にセキュリティホールがありそこを狙われたものと考えられる。
ドイツのホスティングサーバもねらわれているようだ。

フィッシングサイト ISP トップ10
順位ISP名
1USCloudFlare
2USLLCGoDaddy.com
3USTake2Hosting
4USCyrusOneLLC
5USWholeSaleInternet
6JPEquinixAsiaPacific
7USUnifiedLayer
8USGMO-Z.comUSA
9USEnzu.
10SGPsychzNetworks
ボットネット同様、フィシングサイトの多くはUS(米国)が占めているのが特徴的である。
ただし、フィッシングサイトは数が大幅に減ってきており、ダウンロードサイト数の1/20程度にすぎない。
理由は、フィッシングサイトの痕跡が追跡される可能性が高いからだと考えられる。

ランサムウェア

 2015年の末から2016年5月まで猛威を振るったランサムウェアの対策を検討する。
 当社で解析した、約2000種類のランサムウェアの97%以上がZIPファイル形式でメールに添付されており、このZIPファイルをクリックするとJavaScriptが実行され、ランサムウェアを別のサイトからダウンロードしてくる仕組みになっている。残りの3%は添付されたZIPファイルを実行すると、ランサムウェアそのものが実行される。

 ランサムウェアの特徴は身代金を請求することと、この請求に対して支払いの対価をビットコインを介して求めてくることである。さらに、当社の調査により、このダウンロードサーバにアメリカの大手ホスティング会社のサイトが利用されたことが判明した。比較的新しいシステム構築を行っているホスティング会社が大規模に利用されたことは注目される。システムの脆弱性を絶えず補修することは困難であるが、一斉にハッキングする準備周到さが拡散の原因となったと考えられる。

 ランサムウェア対策(実害を及ぼすマルウェア対策)は、喫急の課題と考え、Cyber Cleanerでもダウンロード経路の遮断対策を行うことにした。対応が出遅れたことは否めないが、今後も最新のマルウェアに対応できるよう情報収集を行うと同時に、国内での情報共有化を図っていく方針である。

MyJVN チェッカーサービス

JVN - Japan Vulnerability Notes - が [http://jvndb.jvn.jp/apis/myjvn/ セキュリティ設定チェッカ、バージョンチェッカ]のサービスを実施しています。

これらのサービスは Microsoft Windows 専用のサービスですが、 Windows の機能である USB メモリ自動実行機能の設定の確認や、 インストールされている Adobe Reader や Flash Player などの バージョンが簡単にチェック出来ます。
最近は GENO/Gumblar と呼ばれているマルウェアなど 悪意のあるソフトウェアによる Web サイトの改ざんなどが話題になっていますが、 そういった悪意のソフトウェアによる被害を防ぐための一つの足がかりとして こういったツールも積極的に利用すると良いでしょう。

クライムウェア

2009年6月3日(水)当社サーバで異常な数のウイルスが検知された。
すべて「トロイの木馬」と云われるウイルスで、 世界の主要なボットネットからの配信であった。 同様の報告をお客様からも頂戴したので以下に特記する。

不正かつ有害な動作を行う意図で作成されたソフトウェアプログラムの総称として 「マルウェア」という言葉がある。 このマルウェアに「クライムウェア」という新たな分類が加わった。 悪意のあるソフトウェアの中でも犯罪につながる可能性があるソフトウェアを意味する。
最近になって検出されたマルウェアの 90% 以上が このクライムウェアであることが驚異である。 多くはトロイの木馬と呼ばれるソフトウェアで、 キー入力の履歴を記録するもの (キーロガー)、 銀行サイトの利用時にスクリーンショットを撮るもの、 他の悪性コードをダウンロードしてくるもの、 ハッカーからシステムへのリモートアクセスを可能にするもの等々がある。
これらクライムウェアに共通なのは、 機密データ (パスワードや暗証番号など) を「盗み」、 その情報を犯罪者に送信する点である。 サイバー犯罪者たちは、手に入れた機密データを悪用して 一般の利用者から金銭を盗み出す。 クライムウェアの目的は、金銭を奪取することであり、 利用者のデータを破壊するような派手な動作はしない。 そのため動作している事実がわかりにくく、 利用者はまさか自分のパソコンがクライムウェアに感染しているとは想像だにしない。
ネットでのショッピング等で利用者が入力した機密情報を、 サイバー犯罪者に悪用された例などが報告されているが、 犯人を特定することは非常に困難である。 このようなクライムウェアに関して利用者ができる対策としては

  1. 主要な通信ポートのみ外部へアクセスができるように制約をおこなう。
  2. アクセスログなどを見ながら、 クライアントが不明な任意のIPアドレスにアクセスをおこなっていないかどうか監視する。
などが有効である。

The myth of unix security

[http://www.viruslist.com/en/weblog Kaspersky 社のブログ] によると、 FreeBSD や Linux をターゲットとしたマルウェアが発見されたとの事です。

It’s often argued that *nix systems are secure, and there are’t any viruses or malware for such systems. This hasn’t been true for a long time, as two recently detected malicious programs prove.
Kaspersky 社の Blog より

超訳してみると、 『多くの場合、unix システムはセキュリティを確保しているので、 ウィルスやマルウェアはありえないと主張されていた。 これらの事は既に真実ではない事が最近検出された2種類の悪意あるプログラム により証明されている。』みたいな事が言われています。
今回は単なる perl スクリプトと FreeBSD や Linux 上で実行可能な 暗号化された perl スクリプトの 2 種類のマルウェアが発見されたらしく、 それぞれ迷惑メイルを送信する「ボット」や、 セキュリティソフト風の怪しいソフトウェアを販売するための 詐欺サイトを宣伝・販売するウェブサイトを構築してしまうそうです。

Windows に比較すれば FreeBSD や Linux の方が多少は安全ですが、 それはあくまでも相対的な比較においての安全であり 絶対的に安全という訳ではありません。 そんな事はちょっと考えてみれば常識だと思うのですが、 世の中には「Linux だから安全」という様な事を妄信している人もいる様です。
システムにセキュリティホール(脆弱性)が存在する可能性がある限り、 『セキュリティに対して万全』とは言えません。
日頃からセキュリティ情報には注意を払い、適宜対策を実施することが肝要です。

DNS DDoS

詐称された IP address から `. IN NS' という query を投げる DNS DDoS 攻撃が最近流行っているそうです。
この DNS 問い合わせに対して root servers のリストを応答してしまうと 数百バイト程度の応答が発生してしまうので、 詐称された IP address に膨大なトラヒックが集中してしまい 結果として DDoS 攻撃 分散型サービス拒否攻撃(Distributed Denial of Service attack) となってしまいます。

bind はバージョン 9.5 で既に対策が実施されており `. IN NS' 問い合わせに `refused' と応答するので、 対策されていない DNS の管理者は早急に対策する方が良いでしょう。

セキュリティニュース

2008.11.11 にMcColo がプロバイダより切断された後の経過をフォローする。

2008.11.15

Srizbi および Rustock の配信サーバ McColo C&C サーバ (米国サンノゼ IPアドレス:208.66.194.22) からの配信が再開した。
実はサーバが物理的に撤去されていないことが判明。 まだサンノゼの Market Post Tower で活動を続けているようだ。

2008.11.16

Rustock の配信サーバ C&C サーバが McColo から ロシアのデータセンターに移動した。

2008.11.25

Srizbi に感染しているボットがよみがえった。 新しい実行ファイルに更新され活動を再開した。
その配信サーバはエストニアにあり、 ロシア語 (koi8-r) でMIMEエンコードしたスパムであった。 このことから当初ロシアにある SMTP サーバにターゲットにしているようだ。

2008.12.01

Srizbi および Rustock の配信サーバは現在のところ、 大半が停止し、ごくわずかな配信サーバを残すに至った。
SrizbiRustock に代わって Pushdo が代替ボットになっている。
Cutwail というワームプログラムは迷惑メールの送信および Cutwail を最新にアップデートするために使われるため、 このプログラムの配信を止めることでスパム配信を停止できる。

[http://blog.fireeye.com/research/2008/11/index.html 出典]

ICANNが悪質なドメイン登録業者を取り消し

ITmedia News - 悪名高きドメイン登録業者、ICANNが認定取り消しへ

ICANN - EstDomains Update: Notice of Termination Stayed

取り消しの理由はESTDomainsの社長が有罪になったからとのことで、悪質なドメイン登録を許していたからではない模様。

今回の措置が効果があったとしても、悪質なドメイン登録業者であっても代表者が有罪にならなければ登録業者としての取り消しができないということを示しており、必ずしも良いニュースとはいえない。