■インシデントサーベイIIJでは、インターネット上で発生するインシデントのうち、インフラストラクチャ全体に影響を与える可能性があるインシデントに注目し、継続的な調査研究と対処を行っています。ここでは、そのうちDDoS攻撃、ネットワーク上のマルウェアの感染活動、Webサーバに対するSQLインジェクション攻撃の実態について、その調査と分析の結果を示します。 ●DDoS攻撃 現在、一般の企業のサーバに対するDDoS攻撃が、日常的に発生するようになっています。DDoS攻撃の内容は、状況により多岐にわたりますが、一般には、脆弱性等の高度な知識を利用した攻撃ではなく、多量の通信を発生させて通信回線を埋めたり、サーバの処理を過負荷にしたりすることで、サービスの妨害を狙ったものになっています。図-2に、2009年10月から12月の期間にIIJDDoS対策サービスで取り扱ったDDoS攻撃の状況を示します。 ここでは、IIJ DDoS対策サービスの基準で攻撃と判定した通信異常の件数を示しています。IIJでは、ここに示す以外のDDoS攻撃にも対処していますが、正確な攻撃の実態を把握することが困難なため、この集計からは除外しています。 DDoS攻撃には多くの攻撃手法が存在します。また、攻撃対象となった環境の規模(回線容量やサーバの性能)によって、その影響度合が異なります。図-2では、DDoS攻撃全体を、回線容量に対する攻撃、サーバに対する攻撃、複合攻撃(1つの攻撃対象に対し、同時に数種類の攻撃を行うもの)の3種類に分類しています。 この3ヵ月間でIIJは、185件のDDoS攻撃に対処しました。1日あたりの対処件数は2.01件で、平均発生件数は前回のレポート期間のものと大きく変わりはありません。DDoS攻撃全体に占める割合は、回線容量に対する攻撃が0.5%、サーバに対する攻撃が87.6%、複合攻撃が11.9%でした。今回の対象期間で観測されたもっとも大規模な攻撃は、サーバに対する攻撃で、65万ppsのパケットによって245Mbpsの通信量を発生させています。また、攻撃の継続時間は、全体の77%が攻撃開始から30分未満で終了し、23%が30分以上24時間未満の範囲に分布しています。今回の期間中で最も長い攻撃は、約12時間継続していました。 攻撃元の分布としては、多くの場合、国内、国外を問わず非常に多くのIPアドレスが観測されています。これは、IPスプーフィングの利用や、DDoS攻撃を行うための手法としてのボットネットの利用によるものと考えられます。 ●マルウェアの活動 ここでは、IIJが実施しているマルウェアの活動観測プロジェクトMITFによる観測結果を示します。MITFでは、一般利用者と同様にインターネットに接続したハニーポットを利用して、インターネットから到着する通信を観測しています。そのほとんどがマルウェアによる無作為に宛先を選んだ通信か、攻撃先を見つけるための探索の試みであると考えられます。―無作為通信の状況 2009年10月から12月の期間中に、ハニーポットに到着した通信の総量(到着パケット数)の推移を図-3に、その発信元IPアドレスの国別分類を図-4にそれぞれ示します。MITFでは、数多くのハニーポットを用いて観測を行っていますが、ここでは1台あたりの平均をとり、到着したパケットの種類(上位10種類)ごとに推移を示しています。 ハニーポットに到着した通信の多くは、マイクロソフト社のOSで利用されているTCPポートに対する探索行為でした。また、前回の期間と同様に、シマンテックのクライアントソフトウエアが利用する2967/TCP、PCリモート管理ツールが利用する4899/TCPに対する探索行為が観測されています。一方で、2582/TCP、31138/TCP等、一般的なアプリケーションで利用されていない目的不明の通信も観測されました。発信元の国別分類を見ると、日本国内の22.6%、中国の20.0%が比較的大きな割合を占めています。―ネットワーク上でのマルウェアの活動 同じ期間中でのマルウェアの取得検体数の推移を図-5に、マルウェアの検体取得元の分布を図-6にそれぞれ示します。図-5では、1日あたりに取得した検体の総数を総取得検体数、検体の種類をハッシュ値で分類したものをユニーク検体数として示しています。 期間中での1日あたりの平均値は、総取得検体数が623、ユニーク検体数が44です。前回の集計期間での平均値が総取得検体数で592、ユニーク検体数で46でした。今回は、総取得検体数においても、検体の種類を表すユニーク検体数においても前回と同程度の値でした。 検体取得元の分布では、日本国内が60.2%、国外が39.8%でした。このうちIIJのユーザ同士のマルウェア感染活動は3.0%で、前回の観測期間に続いて低い値を示しています。 MITFでは、マルウェアの解析環境を用意し、取得した検体について独自の解析を行っています。この結果、この期間に取得した検体は、ワーム型4.3%、ボット型93.1%、ダウンローダ型2.6%となりました。また、この解析により、42個のボットネットC&Cサーバと519個のマルウェア配布サイトの存在を確認しています。 ●SQLインジェクション攻撃 IIJでは、Webサーバに対する攻撃のうち、SQLインジェクション攻撃について継続して調査を行っています。SQLインジェクション攻撃は、過去にもたびたび流行し話題となった攻撃です。SQLインジェクション攻撃には、データを盗むための試み、データベースサーバに過負荷を起こすための試み、コンテンツ書き換えの試みの3つがあることが分かっています。 2009年10月から12月までに検知した、Webサーバに対するSQLインジェクション攻撃の推移を図-7に、攻撃の発信元の分布を図-8にそれぞれ示します。これらは、IIJマネージドIPSサービスのシグネチャによる攻撃の検出結果をまとめたものです。発信元の分布では、日本61.7%、中国6.7%、米国5.3%となり、以下その他の国々が続いています。 Webサーバに対するSQLインジェクション攻撃の発生状況は、前回と同様の発生数となっています。散発的にみられる攻撃の増加は、特定の攻撃元から複数の宛先への攻撃を検知したものです。 ここまでに示したとおり、各種の攻撃はそれぞれ適切に検出され、サービス上の対応が行われています。しかし、攻撃の試みは継続しているため、引き続き注意が必要な状況です。※同記事はインターネットイニシアティブ(IIJ)の発行する「Internet Infrastructure Review」の転載記事である執筆者:齋藤 衛(さいとう まもる)IIJ サービス事業統括本部 セキュリティ情報統括部 部長。法人向けセキュリティサービス開発等に従事の後、2001年よりIIJグループの緊急対応チームIIJ-SECTの代表として活動し、CSIRTの国際団体であるFIRSTに加盟。Telecom-ISAC Japan、日本シーサート協議会、日本セキュリティオペレーション事業者協議会等、複数の団体の運営委員を務める。IIJ-SECTの活動は、国内外の関係組織との連携活動を評価され、平成21年度情報化月間記念式典にて、「経済産業省商務情報政策局長表彰(情報セキュリティ促進部門)」を受賞した。土屋 博英( 1.2 インシデントサマリ)土屋 博英 鈴木 博志( 1.3 インシデントサーベイ)鈴木 博志( 1.4.1 Gumblarの再流行)須賀 祐治( 1.4.2 SSLおよびTLS renegotiation機能の脆弱性を利用した中間者攻撃)齋藤 衛 永尾 禎啓 (1.4.3 P2Pファイル共有ネットワークの調査技術)IIJ サービス事業統括本部 セキュリティ情報統括部
ブルーコート、マルウェア配信ネットワークを分析
