memcachedやMiraiによるDDoS攻撃を観測、IIJが2018年7月のセキュリティレポート公開DDoS攻撃やマルウェアの脅威が続く

IIJは、国内のサイバーセキュリティに関する観測レポートを公開した。2018年7月はDDoSやマルウェアによる攻撃が続き、前月と似た傾向を示した。災害時に設置される無償の公衆無線LANについても注意を喚起した。

» 2018年09月05日 08時00分 公開
[@IT]

 インターネットイニシアティブ(IIJ)は、2018年8月31日、国内のサイバーセキュリティに関する「wizSafe Security Signal 2018年7月観測レポート」を公開した。このレポートは、毎日の脆弱(ぜいじゃく)性情報を列挙した他、さまざまな攻撃についてまとめたもの。

 マルウェアを添付したメールによる攻撃の検知傾向に変動が見られたが、2018年7月の全体的な傾向はこれまでと同様で、DDoS(Distributed Denial of Service Attack:分散サービス妨害)攻撃やマルウェアを利用した攻撃などを観測した。

DDoS攻撃は止まず

 IIJが2018年7月に検出したDDoS攻撃の件数は641件で、1日当たり平均20.68件。攻撃の継続時間は、30分未満が全体の87.52%だった。DDoS攻撃の回数は2018年6月と大きく変わっておらず、攻撃の継続時間は短いものが増えた。

DDoS攻撃の検出件数(出典:IIJ

 最大規模のDDoS攻撃では、毎秒238万個のパケットによって25.24Gbpsの通信が発生した。この攻撃は主にmemcachedを用いたUDP Amplification攻撃だった。同種の攻撃は7月に頻発しており、今後も引き続き注意が必要だとしている。DDoS攻撃の特徴は、夜間から早朝にかけて起こること、いずれも10Gbps程度の攻撃で、継続時間は10分程度が大半だったことだ。なお、断続的な攻撃が2時間以上続いた場合もあった。

 いずれもDDoS攻撃に対する同社の防御サービス「IIJ DDoSプロテクションサービス」で検出した数字だ。

 一方、IPS(不正侵入防御システム)やIDS(不正侵入検知システム)で同社が検知した攻撃では、NetisやNetcoreブランドのルーターの脆弱性を狙った攻撃が、2018年6月と同様に多く、観測した攻撃の約8割がこれらのルーターを狙ったものだった。

Webサイト当たりの攻撃検出件数 NetisとNetcoreブランドのルーターが主に狙われている(出典:IIJ

 具体的には、UDPの53413ポートに対してパケットを送信し、外部サーバからスクリプトをダウンロードさせることで、当該ルーターをマルウェアに感染させるというもの。IIJでは、この攻撃がMiraiの亜種マルウェアによることを確認したという。なおMiraiは、Linuxが稼働するシステムを遠隔操作可能なbotにするマルウェア。ネットワークカメラや家庭用ルーターといった、IoT(Internet of Things)機器が標的となる。以上は「IIJマネージドIPS/IDSサービス」で観測したデータに基づく。

 Webアクセス時に検出したマルウェアは、2018年6月と同様に、「Trojan.JS.Agent」が過半を占め、78.52%に達した。これは、主にWordPressの脆弱性によってWebサイトに埋め込まれるトロイの木馬で、攻撃者が用意したJavaScriptを別のサーバから読み込み、実行するというもの。検出には「IIJセキュアWebゲートウェイサービス」を用いた。

Webアクセス時に検出したマルウェアの種類(出典:IIJ

 電子メールによる攻撃では、「Trojan-Downloader.MSOfiice.Sliqy」や「Email-Worm.Win32.Mydoom」を多く検出した。これも2018年6月と同様な傾向。いずれもメールの添付ファイルとして拡散する。

 前者には、拡張子が「.iqy」のファイルが添付されている。これは、ExcelのWebクエリを定義する際に使うファイル。Webサイトのテーブルを取り込むWebクエリの機能を悪用して、Webサイトからマルウェアをダウンロードする。電子メールによる攻撃については「IIJセキュアMXサービス」で検出した。

公衆無線LANサービスに用心

 2018年7月は西日本を中心に豪雨に見舞われるなど、自然災害の発生頻度が高かった。このような場合、被災者の安否確認や情報収集の手段として、公衆無線LANサービスが提供されることがある。無線LANビジネス推進連絡会が大規模災害発生時の公衆無線LAN無料開放に関するガイドラインを定めるなど、インフラも整いつつある。

 IIJはこうしたサービスを悪用する攻撃に注意するよう呼び掛けている。

 例えば、災害時には災害用統一SSIDが使用されることがある。そのときSSIDの「0」「1」「2」といった数字を、アルファベットの「O」「I」「Z」に入れ替えて、本物と類似した名前のSSIDを設定したアクセスポイントを設置する攻撃が存在する。ここに接続したクライアントの通信内容を盗み見る攻撃だ。

 公式なアクセスポイントに接続する場合でも、災害時には利便性を優先して、WPAなどのパスフレーズを要求しないことがある。その場合、結果として通信が暗号化されないため、通信経路で情報が窃取される恐れがある。

 災害時に開放される無線LANを利用する際には、暗号化されないHTTP接続時であれば、IDやパスワードなどの個人情報を入力しないようにすべきだ。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。