2018年観測レポート振り返り

wizSafe Security Signalでは毎月、IIJのマネージドセキュリティサービスやバックボーンで検出した脅威情報を発信しています。この記事では2018年1月から12月の観測レポートでご紹介した内容を、簡単にまとめてご紹介します。

なお、文中のリンクは全て、該当する内容を含むwizSafe Security Signal記事へのリンクとなっています。

セキュリティトピック

2018年には様々なトピックがありました。ここでは6点を挙げて、その内容を振り返ります。

仮想通貨

2018年に大きく話題になったものとして、仮想通貨がありました。仮想通貨とセキュリティの関係だけを挙げても下記のように様々な話題がありました。

  • 仮想通貨交換所又は仮想通貨の仕組みに対する攻撃による、仮想通貨の流出
  • 仮想通貨をマイニングしてしまうマルウェアの実行
  • Webサイト改ざんによる仮想通貨スクリプトの配置
  • Webサイト所有者による意図された仮想通貨スクリプトの配置
  • ランサムウェアなどによる身代金の仮想通貨による請求

2018年後半に入ってからは目新しい話題は少なくなりましたが、攻撃者にとっては仮想通貨の性質が好都合な側面もあり、今後も継続して利用されるものと推測されます。

ハードウェアにおける脆弱性

2018年1月には、Intel社やAMD社のプロセッサにおける「投機的実行」・「アウトオブオーダ実行」機能に脆弱性があることが発表され、「Meltdown」や「Spectre」と呼ばれました。これらには攻撃の内容に応じて様々な応用があり、「Variant」として1年を通して新しいものが発表されていました。プロセッサの他にもSSDにおける暗号化処理の脆弱性が公開されるなど、ハードウェアに関連する脆弱性が話題として挙がりました。ハードウェアの脆弱性は対応が難しく、機器の交換を要してしまう場合や、修正は可能であっても動作に影響を及ぼしてしまう場合があります。そのため、修正方法が公開された際には影響範囲を確認し、その適用可否を検討する必要があります。「脆弱性対応」と呼ぶとソフトウェアの更新がよく挙がりますが、このようなハードウェアにおける脆弱性にも注意が必要です。

メール・SMSを用いた攻撃

メールに関連するセキュリティインシデントは従来からありますが、2018年にも様々なものがありました。目立った事例としては先述のMicrosoft Officeの機能を悪用する添付ファイルや、フィッシングメールによる攻撃などが挙げられます。そのほかに、メールシステムとしてクラウドサービスを利用しているような状況において、そのアカウントに組織外からログインされてしまい、情報が漏洩するといった事例もありました。更には、企業などにおける業務メールを個人用メールアカウントに転送し、そのメールアカウントが攻撃され、情報が漏洩したといった事例もありました。メールは日々の業務に必要なツールですが、依然として問題が生じています。このような問題が発生しないよう、適切にシステムを利用できる環境を整備し、またメールの内容に騙されないよう、ユーザ教育を実施していくことが必要です。

また、2018年はメールの他に、SMSをスマートフォン宛に送り、マルウェアが含まれるアプリケーションファイルをダウンロードさせる攻撃も話題となりました。スマートフォンには公式のストア以外からアプリケーションをダウンロードさせない仕組みが用意されており、その仕組みを用いることでこの攻撃を回避することが可能です。不審に思われるメッセージには応答しないなど、利用者側においても注意していく必要があります。

インターネットに接続されたデバイスに対する不正ログイン

2018年にはインターネットに直接接続され、グローバルIPアドレスが付与された、様々なデバイスに対する攻撃が複数回取り上げられました。例えばブロードバンドルータのDNS設定を変更されたことにより不正なWebサイトへ誘導され、悪意のあるAndroidアプリケーションをダウンロードさせられる攻撃事例がありました。これはインターネットからルータの管理画面を表示可能であり、パスワードが初期値もしくは簡単なものであるような場合に、不正にログインされることにより発生していたものと考えられます。

ブロードバンドルータに限らず、グローバルIPアドレスが付与された機器においては、このような被害を防ぐために適切な設定を施すことが必要です。対策の例として、適切なパスワードを設定したり、LAN内の必要なセグメントからのみ管理画面を表示可能となるように制限したりすることなどが考えられます。機器の初期パスワードや頻繁に使用されるパスワードの一覧はインターネット上で簡単に取得出来ることから、設定するパスワードは初期値とは異なるもので、簡単に推測出来ない文字列であることが必要です。また管理画面への接続元を制限する際には、対策を施した状態でインターネットから管理画面へのアクセスを試みるなど、意図した設定が正しく動作していることを確認することも重要です。

セキュリティに関連する政策・取り組み

2018年最大の話題として、欧州における一般データ保護規則(GDPR)施行がありました。GDPRは欧州経済領域(EEA:EU加盟各国、アイスランド、リヒテンシュタイン、ノルウェー)における法律ですが、GDPRにより保護される対象がEEA内に所在する場合は取扱者がEEA外であっても影響を受ける場合があるため、日本においても無関係ではありません。また、GDPRの他にもオーストラリアにおける反暗号化法の可決なども話題になりました。こちらもGDPRのように、通信先がオーストラリアに存在する場合は影響を受ける可能性があるため、今後の動向を注視していく必要があります。また、このような法律が、法律が施行される国に居住していない場合においても、影響を受ける可能性があることを認識しておく必要があります。

日本においては、国立研究開発法人情報通信研究機構(NICT)の業務に設定に不備のあるIoT機器に関する調査を追加する法改正がありました。この取組は「NOTICE」と呼ばれています。前述のブロードバンドルータに対する攻撃事例のように、インターネットに接続されたデバイスが、意図せず外部から不正に利用される攻撃は多く見られます。NOTICEは調査により脆弱であると判断された機器に対して、電気通信事業者を通じて所有者に注意喚起するものです。事前調査が2018年11月より実施され、実際の調査も2019年2月より実施されています。

また、主要IT企業による取り組みも話題となりました。2018年に話題となった施策の1つとして、常時SSL化(Always-On SSL)がありました。これは機密情報を取り扱う場合だけでは無く、一般的なWebコンテンツの表示時においてもHTTPSを用いることを推奨するものです。Webコンテンツの表示においてHTTPSを用いることで、通信経路上でコンテンツが改ざんされることを防止する目的があります。この施策を推し進めるため、WebブラウザであるGoogle Chromeでは、HTTP接続時に「保護されていない通信」と表示するように変更されました。クライアント側でこのような表示となることが事前に予告されていたことから、主要なWebサイトの多くで、Webコンテンツ表示時にHTTPSが用いられるようになりました。この動きはWebブラウザの仕様変更に他者が追従した形であり、主要IT企業による施策がユーザに影響した例であったものと言えます。

新しいプロトコルの開発

2018年に公開された新プロトコルとして、無線LANへの接続時に使用するWPAの更新版である、WPA3があります。対応製品はこれから発売されていくものと思われますが、WPA3に対応した製品が発売された際には、新しいプロトコルの利用に向けた計画が必要となります。

2018年に公開されたもう1つの新しいプロトコルとして、TLS 1.3の公開があります。TLS 1.3はTLS 1.2までに発見されている脆弱な機能を廃止し、安全性を向上させています。また、セッション再開時のハンドシェイクを効率化するなど、通信速度の向上も特徴として挙げられています。TLS 1.3は既に一部のWebブラウザでドラフト版に対応しています。また、2018年には、主要WebブラウザにおいてTLS 1.0、1.1といった古いバージョンのTLS廃止が進められました。このような技術の入れ替わりは随時発生しており、その動向を把握していくことが必要です。

観測情報

2018年にIIJで観測した、観測情報を振り返ります。

DDoS攻撃

IIJではIIJマネージドセキュリティサービスやバックボーンなどでDDoS攻撃に対処しています。IIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した攻撃について、件数や通信量を掲載しています。2018年のDDoS攻撃に関わるデータを、表-1にまとめます。

表-1 2018年 DDoS観測情報サマリ
月間の件数
(1日平均)
最大秒間
パケット数(万)
最大通信量 最長攻撃時間
帯域 手法 時間 手法
1月 422 (13.61) 約59 5.79Gbps DNS Amplification 9時間42分 HTTP/HTTPS
2月 465 (16.61) 約2,126 20.66Gbps NTP Amplification 19時間10分 HTTPS
3月 808 (26.06) 約348 36.02Gbps DNS Amplification 9時間10分 HTTPS
4月 568 (18.93) 約86 7.92Gbps LDAP Amplification 5時間8分 HTTPS
5月 706 (22.77) 約335 33.08Gbps memcached 6時間21分 NTP Amplification
6月 623 (20.77) 約220 21.45Gbps UDP Amplification 3時間28分 NTP, memcached
7月 641 (20.68) 約238 25.24Gbps memcached 2時間54分 HTTP/HTTPS
8月 461 (14.87) 約336 15.17Gbps UDP/GRE Flood 2時間32分 HTTP/HTTPS
9月 447 (14.90) 約245 25.05Gbps UDP Amplification 3時間 HTTP/HTTPS
10月 492 (15.87) 約137 14.00Gbps UDP Amplification 4時間 HTTP/HTTPS
11月 448 (14.93) 約276 23.26Gbps UDP Amplification 2時間30分 UDP Flood
12月 396 (12.77) 約409 39.06Gbps UDP Amplification 14時間 HTTP/HTTPS

表-1より、1ヶ月間の件数、最大パケット数、最大通信量は、2月のパケット数を除くと、目立った変化は少ないことが分かります。最大通信量を発生させた攻撃の手法としてはDNSやNTPなどの、UDPを用いたAmplification攻撃が多く使われています。UDPでは通信元と通信先のホストにおいてコネクションを確立する必要が無いため、パケット内における送信元IPアドレスを偽装するなどの細工をすることで、UDPの通信を大量に発生させることが可能です。一方で、1回の攻撃における継続時間については、UDPではなく、TCPであるHTTP・HTTPSが多く使用されています。特定のサイトのみを継続して狙った攻撃では、そのサイトに対して効果が得られるものと推測されるプロトコルを用いて攻撃している様子が見て取れます。

2018年に大きく話題に挙がったDDoS攻撃としてmemcachedを用いたものがありました。主要なOS環境においてはmemcachedは個別にインストールする必要があることから、使用していない環境では影響を受けません。しかしmemcachedをインストールし、適切な設定をしていない場合は、ホスト上の全てのネットワークインタフェースにおいてTCP及びUDPによるパケットを受け付けます。インターネットからのリクエストに対してもmemcachedが応答してしまうため、UDPのリクエストが着信した際には、UDP Amplification攻撃に利用されてしまう恐れがあります。memcachedに限らず、外部からアクセスする必要の無い通信が適切にフィルタされていない機器が存在する場合は、それを用いて第三者が管理するホストに対してUDP Amplificationを発生させてしまう恐れがあります。認識が無い間に攻撃の加害者になってしまわないためにも、ご自身が管理されるネットワーク上で動作しているホストやソフトウェアの設定は適切に実施するようにしてください。

IIJマネージドセキュリティサービス

IIJマネージドIPS/IDSサービスでは、年間を通して下記の攻撃種別を検出していました。

  • ZmEu Exploit Scanner
  • SQLインジェクション(数種類)
  • OSのパスワード情報を窃取することを目的とした攻撃
  • PHPを用いてファイルの読み込みを試行する攻撃

ZmEuはMySQLの管理ソフトウェアである、phpMyAdminの脆弱性有無を確認するツールです。このようなWebアプリケーションを対象とした攻撃は、年間を通して発生していました。

2018年前半はこれらの攻撃のほかに、Oracle Web Logic Serverの脆弱性を狙った攻撃が多く見られた月が複数回ありました。この攻撃はOracle WebLogic Serverの脆弱性を用いて外部から任意のコードを実行するもので、wizSafe Security SignalではGhostMinerを例としてご紹介しました。攻撃に成功すると、標的となったサーバでは管理者の意図しない形でマイニングプログラムがダウンロードされ、実行されてしまいます。Webページを改ざんしたり、情報を漏えいさせたりするのではなく、攻撃者がマイニングにより利益を得ようとする試みの一例です。

2018年後半は、6月より観測されるようになった、Netis・Netcore社製ルータの脆弱性を狙った攻撃が目立つようになりました。最低でも全検出数の半数、多い月では9割近くがこの攻撃であったことから、この攻撃の多さが分かります。また、8-9月にはD-Link社製ルータを狙った攻撃も攻撃種別トップ10に入るなど、ルータを狙った攻撃が度々観測されていました。これらルータの脆弱性を狙った攻撃は、2018年に大きく話題となった、Miraiの亜種を用いたものであることを確認しています。ルータ対象とした攻撃を除くと、特に10月以降は3ヶ月連続でSQLインジェクションが最も多く検出されました。

Web/メールのマルウェア脅威

Webアクセス時やメール受信時において、悪意のあるファイルを検出しています。

Webアクセス時におけるマルウェア検出

Webアクセス時においては年間を通して、悪意のあるJavaScriptをダウンロードさせる通信が検出されていました。このような悪意あるJavaScriptをダウンロードさせる手法は複数確認されていますが、大きく分けてWordPressで作成されたWebページを改ざんしたものと、以前は正常なJavaScriptが公開されていたWebサイトのドメインを、失効後に第三者が取得したものの2種類がありました。特に後者においては、以前と同じパスに悪意のあるJavaScriptが設置されたことにより、そのJavaScriptを参照しているWebサイトへアクセスしたクライアントに対して影響を及ぼす構造になっているものもありました。

JavaScriptや広告など、自サイト外のコンテンツをWebページ内に表示させている場合、外部サイト側の都合で表示内容などが大きく変わる可能性があります。また、外部サイトを参照していない場合でも、Webページ改ざんなどのリスクは常に考えられます。Webサイトをインターネットに向けて公開されている場合は、表示される内容や動作が適切であることを、定期的に確認することをお勧めします。

メール受信時におけるマルウェア検出

メール受信時においては、年間を通してMydoom及びAndromが検出されていました。Mydoomは2004年に登場したワームであり、感染すると端末の設定が書き換えられたり、バックドア機能を提供したりします。Andromは2012年に登場したもので、これも同様にバックドア機能を提供するものです。これらは従来から存在するマルウェアであり、引き続き多く観測されています。

2018年に多く話題になったものとして、ExcelなどMicrosoft Officeの機能を悪用するファイルが、メールに添付されていたものがあります。従来から用いられてきたマクロ機能に加え、Webクエリ(拡張子「.iqy」又は「.xls」のファイル)、数式エディタの脆弱性、コモンコントロール、Dynamic Data Exchange(DDE)などを用いたファイルの悪用が確認されています。このような機能が実行される際には、Microsoft Officeでは警告ダイアログが表示されます。2018年12月 観測レポートで3種類のダイアログを紹介していますが、このような心当たりの無い確認ダイアログが表示された際には安易に許可せず、内容を確認することをお勧めします。

おわりに

2018年に登場した攻撃手法として、memcachedを用いてUDP Amplificationを発生させたり、マクロに代えてWebクエリなどの機能を含むExcelファイルを用いて攻撃したりと、従来から存在する手法を応用したものが複数見られました。memcachedを狙った攻撃に荷担しないためには、不要な通信をインターネットから受け付けないようにすることが必要です。また、悪意のあるExcelファイルを用いた攻撃への対策としては、警告ダイアログが表示された際に無闇に許可しなかったり、不審なファイルを開かなかったりすることが挙げられます。攻撃の手法は従来から存在する攻撃手法の応用であるものの、従来から存在する対策を適切に実施することで回避出来ます。また、公開サーバに対する不正アクセス対策としてのIPS導入や、公開Webサーバに対するHTTPを用いたDoS攻撃の防御を目的としたDoS対策サービスの導入など、ACLなどを用いた単純な通信の遮断が出来ないような場合でも、対策する手法は既に存在します。このように既存の回避手法を適切に実施することで、攻撃の影響を受ける可能性を低減出来ることから、まずは基本的なセキュリティ対策が実施出来ていることを確認することが必要です。

一方で、仮想通貨が関係する攻撃やインフラに対する攻撃、CPUなどのハードウェアに関連する脆弱性など、新しい形の攻撃手法も見られました。また、WPAやTLSなど既に標準化されている技術について、その更新版が策定されるといったニュースもありました。このような新しい攻撃手法や技術に対応していくためには、従来の対策をしっかり実施することに加えて、新しい技術の話題を適時、把握していくことが必要です。