世界規模でクラウド・デリバリー・プラットフォームを提供しているアカマイ・テクノロジーズは12月19日、2017年第3四半期の「インターネットの現状/セキュリティ」レポートを発表した(PDF)。

今回のレポートのハイライトとしては以下のとおり。DDoS攻撃においては、第2四半期と比較するとやや増加傾向にあり、繰り返し攻撃の増加が顕著に見られた。また、IoTデバイスを狙うマルウェア、「Mirai」を用いたボットネットは100Gbpsを超える大規模攻撃と小規模ながらも攻撃先の許容量を超えた攻撃の二極化が進んでいる。Webアプリケーションへの攻撃も、第2四半期との比較で30%増加しており、SQLインジェクション、ローカルファイルインクルージョンの2種で85%を占めており、脅威はなお拡大している。

  • レポートについて解説を行うアカマイ・テクノロジーズ合同会社プロダクト・マーケティング・マネージャーの中西一博氏

    レポートについて解説を行うアカマイ・テクノロジーズ合同会社プロダクト・マーケティング・マネージャーの中西一博氏

  • 今回発表されたレポートのハイライト。DDoS攻撃、Webアプリケーション攻撃、そしてAndroidデバイスを対象としたWireXボットネット等について事例が語られた

    今回発表されたレポートのハイライト。DDoS攻撃、Webアプリケーション攻撃、そしてAndroidデバイスを対象としたWireXボットネット等について事例が語られた

増加するDDoS攻撃、サービス直結の企業狙いか

アカマイ・テクノロジーズ合同会社プロダクト・マーケティング・マネージャーの中西一博氏によれば、DDoS攻撃は残念ながら増加傾向にあると述べるとともに、第3四半期で最大のDDoS攻撃はMiraiボットネットから109Gbpsの大規模攻撃を観測。Mirai以外の攻撃手法のものでは104Gbpsの攻撃を観測したという。また、Miraiに関してはソースコードが公開されてしまったこともあり、様々な亜種が誕生している現状を鑑みると根絶することは非常に難しいのではないかとの見方を示した。

  • 脆弱なIoTデバイスの発見は容易なため、2018年もMiraiまたはその亜種による攻撃は続くだろうとのこと

    脆弱なIoTデバイスの発見は容易なため、2018年もMiraiまたはその亜種による攻撃は続くだろうとのこと

  • また109GbpsのDDoS攻撃を引き起こしたコードはオリジナルとそのシグネチャがほぼ一致している。しかし、攻撃先のポート番号がオリジナルの80から443へ変更されている特徴が見られるという

    また109GbpsのDDoS攻撃を引き起こしたコードはオリジナルとそのシグネチャがほぼ一致している。しかし、攻撃先のポート番号がオリジナルの80から443へ変更されている特徴が見られるという

また、DDoS攻撃のターゲットとなった組織に行われた攻撃回数は、平均で3日に1回攻撃を受けている現状だという。なお、第3四半期でもっともDDoS攻撃を受けた組織ではなんと612回、1日平均約7回ものアタックを受けた計算となる。さらに、悪意ある者たちの攻撃先は、ゲーム業界が非常に大きな割合を占めたという。これは、攻撃を受けたことでサービスが停止してしまい企業活動そのものに影響がある企業が狙われているためだ。悪意ある者たちから「コンプライアンスへの意識が甘い」と思われており、脅迫すれば金銭取引に応じるとみられていることに一因があるようだ。

  • 016年第4四半期から2017年第3四半期の間でターゲットごとのDDoS攻撃数をグラフ化したもの。もっとも被害に遭った組織では1日平均約7回もDDoSによる攻撃を受けている

    016年第4四半期から2017年第3四半期の間でターゲットごとのDDoS攻撃数をグラフ化したもの。もっとも被害に遭った組織では1日平均約7回もDDoSによる攻撃を受けている

  • どの業界にDDoS攻撃が行われたかを示したもの。圧倒的にゲーム業界が多いのは驚きだ

    どの業界にDDoS攻撃が行われたかを示したもの。圧倒的にゲーム業界が多いのは驚きだ

発表では、DDoS攻撃の新たなトレンドとして観測されたAndroidデバイスを踏み台にしてDDoS攻撃を行うWireXについても触れられた。モバイルアプリサーバやAPIサーバが主な標的となっていたWireXは、Googleアプリストアで公開されていた悪意あるAndroidアプリによって引き起こされ、ユーザーは知らずのうちに攻撃に荷担してしまっている場合もあるというもの。アカマイ・テクノロジーズの分析によれば、世界100カ国以上で攻撃ソースを確認しており、日本国内でも少なくとも226の攻撃ソースIPを確認しているという。

  • WireXに対しては既にGoogleも対策を講じており一応の収束はみているが、知らず知らずのうちに悪意ある者の破壊行為に荷担していると考えるとゾッとする

    WireXに対しては既にGoogleも対策を講じており一応の終息はみているが、知らず知らずのうちに悪意ある者の破壊行為に荷担していると考えるとゾッとする

次いでWebアプリケーションへの攻撃傾向に説明がなされた。こちらも2017年第2四半期と比較すると攻撃総数は30%の増加、SQLインジェクションによる攻撃数が19%の増加傾向にあるという。またSQLインジェクションと同様に、ローカルファイルインクルージョンによる攻撃も多く、この2種の攻撃手法で85%もの割合を占める結果となった。

  • Webアプリケーション攻撃で用いられた手法の割合

    Webアプリケーション攻撃で用いられた手法の割合

  • 攻撃先となった国を示したもの。米国が圧倒的な数でトップとなっており、日本は第3四半期では6位に

    攻撃先となった国を示したもの。米国が圧倒的な数でトップとなっており、日本は第3四半期では6位に

巧妙化するMiraiボットネットや不正ログイン

さて、話題はMiraiボットネットの分析結果より得られた知見に移る。Miraiはボットネット化したIoTデバイスとそれらに命令を出すコマンド&コントロール(C&C)サーバで主に構成されており、アカマイ・テクノロジーズが32日間12のノードを分析した結果、ひとつのノードの存在期間は3日から1週間程度であること、ひとつのC&Cから1日に送信されたコマンドは非常に限定的であるということが判明したという。Miraiボットネットは一見巨大なひとつの集合体のように見えるが、実際は悪意ある者が使用しやすいよう、必要量に応じてクラスタを形成しているという。

  • MiraiボットネットのC&Cノードのライフサイクル。悪意ある者たちはアンダーグラウンドビジネスの一環として活動しており、必要な効果が得られるだけの攻撃を適正なコストで行えるよう工夫している

    MiraiボットネットのC&Cノードのライフサイクル。悪意ある者たちはアンダーグラウンドビジネスの一環として活動しており、必要な効果が得られるだけの攻撃を適正なコストで行えるよう工夫している

  • マルウェアを配布するサイトやフィッシングサイトをより長い時間インターネット上で活動させるために攻撃者が用いるFast Fluxの実態についても分析、可視化したという。非常に短い時間で応答するC&CサーバのIPを切り替えることで検知及びボットネットのテイクダウンを回避するために利用されている

    マルウェアを配布するサイトやフィッシングサイトをより長い時間インターネット上で活動させるために攻撃者が用いるFast Fluxの実態についても分析、可視化したという。非常に短い時間で応答するC&CサーバのIPを切り替えることで検知及びボットネットのテイクダウンを回避するために利用されている

パスワードリスト型攻撃(クレデンシャル・スタッフィング)に関しても興味深い分析結果が得られたという。ダークウェブやブラックマーケットで購入したユーザー認証情報をもとに、ボット等で認証情報の照合を行い、正規ユーザーになりすまして不正ログインを行い、金銭的な利益やデータ等を得るというものが、悪意ある者がとる一連の流れだ。

アカマイ・テクノロジーズがサービスを提供している有名企業のWebサイトで観測を行った結果、420種類ものボットを検知し3400万件以上ものアカウントが狙われたという。そして驚くべきことに、約6億の総ログイン中約4億件が不正なログインであったという。その割合は半数以上の66.5%。これらの数字は、2017年9月にわずか24時間のデータを収集・分析した結果であることから、如何に頻繁に攻撃が行われているかがわかるだろう。それに伴い、パスワードリスト型攻撃で用いられるボットも高度化、カスタム化が進んでいるという。

  • パスワードリスト型攻撃の一般的なフロー

    パスワードリスト型攻撃の一般的なフロー

  • 衝撃的な不正ログイン66.5%の文字が。この数字は、実際にログインできたか否かではなく、ボットによる機械的なアクセスでID・パスワード認証を行っているものをカウントしたものだ

    衝撃的な不正ログイン66.5%の文字が。この数字は、実際にログインできたか否かではなく、ボットによる機械的なアクセスでID・パスワード認証を行っているものをカウントしたものだ

発表会の最後は、2018年も新たな脅威情報に基づき自社のセキュリティシステムを再評価、リスク対策プロセスの再検討が必要だと締めくくられた。