- 2021年4月観測レポートサマリ
- DDoS攻撃の観測情報
- IIJマネージドセキュリティサービスの観測情報
- Web/メールのマルウェア脅威の観測情報
- セキュリティインシデントカレンダー
- ソフトウェアリリース情報
2021年4月観測レポートサマリ
本レポートでは、2021年4月中に発生した観測情報と事案についてまとめています。
当月は1日あたりのDDoS攻撃件数は先月から減少しましたが、最大規模を観測した攻撃はSYN Floodが使用されたもので先月を大幅に上回りました。最長時間を観測した攻撃ではUDPをトランスポートとする複数のアプリケーションプロトコルやGREプロトコルが使用されています。
IPS/IDSにおいて検出したインターネットからの攻撃について、当月はPHPUnitにおける脆弱性(CVE-2017-9841)の有無を確認するスキャン通信が最も多く観測されています。また、wgetコマンドやcurlコマンドを使用してIoTマルウェアMoziのダウンロードを試みる通信を確認しています。
Webサイト閲覧時における検出では、難読化されたJavaScriptの検出が最も多く観測されています。メールでは情報の窃取を狙ったHTMLファイルを添付したメール、情報窃取型マルウェアのSnake KeyloggerやAgent Teslaへの感染を狙ったメールなどを観測しています。
DDoS攻撃の観測情報
本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。
攻撃の検出件数
以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は487件であり、1日あたりの平均件数は16.23件でした。期間中に観測された最も規模の大きな攻撃では、最大で約431万ppsのパケットによって49.61Gbpsの通信が発生しました。この攻撃は主SYN Floodでした。また、当月最も長く継続した攻撃は49分にわたるもので、最大で1.47Gbpsの通信が発生しました。この攻撃はNTP、DNSなど複数のプロトコルによるUDP Amplificationと、GREプロトコルを利用したものでした。
IIJマネージドセキュリティサービスの観測情報
以下に、今回の対象期間に検出した1サイト当たりの攻撃検出件数(図-2)と攻撃種別トップ10の割合(図-3)を示します。
当月はPHPUnit Remote Code Execution Vulnerability (CVE-2017-9841)を最も多く観測しており、全体の14.49%の割合で検出しています。検出した通信は、CVE-2017-9841を悪用したスキャン通信の増加で紹介したものと同様です。次点ではThinkPHP CMS Getshell Vulnerabilityを多く観測しており、全体の13.73%を占めています。
また、当月ではWget Command Injection Vulnerabilityを3番目に多く観測しています。検出した通信は、wgetコマンドやcurlコマンドを使用してマルウェアのダウンロードを試みる通信でした。2020年9月の観測レポートと同様に、ダウンロードされるマルウェアのほとんどがMoziと呼ばれるIoTマルウェアであることを確認しています。
Web/メールのマルウェア脅威の観測情報
Webアクセス時におけるマルウェア検出
今回の対象期間において、Webアクセス時に検出したマルウェア種別の割合を図-4に示します。
対象期間中はTrojan.JS.Agentを最も多く検出しており、全体の36.79%を占めていました。当該シグネチャでは難読化されたJavaScriptファイルを多く検出しました。検出したファイルには、scriptタグによる外部のJavaScriptファイルの読み込みやiframeタグにより外部のサイトを読み込む処理が含まれていました。scriptタグにより読み込まれるJavaScriptファイルは本記事の執筆時には取得できない状態でしたが、iframeタグにより読み込まれるサイトは広告サイトであることを確認しています。
次点ではHackTool.PHP.BMailerを多く検出しており、全体の22.64%を占めていました。検出したファイル名は「favicon.ico」とfaviconに偽装されていましたが、実際にはLeaf PHPMailerの処理が含まれたPHPファイルでした。Leaf PHPMailerはPHPでメールを送信することができるPHPスクリプトで、スクリプトがアップロードされたサイトから悪意のあるメールの送信に悪用される恐れがあります。
メール受信時におけるマルウェア検出
対象期間における、メール受信時に検出したマルウェアの割合を図-5に示します。
対象期間中に最も多く検出したマルウェアはHoax.HTML.Phishで、全体の21.49%を占めていました。当該シグネチャで検出したメールには、HTMLファイルが添付されていることを確認しています。HTMLファイルにはアカウント情報を入力するフォームが含まれており、情報を入力して送信ボタンをクリックすると第三者(攻撃者)にアカウント情報が送信されます。
次点で多かったのは、Trojan-Downloader.MSWord.Agentで、全体の15.66%を占めていました。当該シグネチャでは、Microsoft Office数式エディタの脆弱性(CVE-2017-11882)を悪用するMicrosoft Word(docx)形式のファイルを検出していました。また、件名は出荷や請求に関するものを多く確認しています。
以下に、対象期間においてSOCで検出した、件名が日本語で脅威を含むメールに関する情報を示します。なお、以下は主要なものであり、すべての不審なメールを網羅しているものではない点にご注意ください。
|
件名
|
添付ファイル名
|
感染する
マルウェア |
|---|---|---|
| 提供 | P#108871980.pdf.r00 | Snake Keylogger |
| 御社での製造可否について | SCANNED DOCUMENT.IMG | Snake Keylogger |
| 命令 | 30521-MH-LIGN-FXi-R.pdf.r00 | Agent Tesla |
当月は情報窃取型マルウェアであるSnake KeyloggerやAgent Teslaへの感染を目的としたメールを確認しています。これらのマルウェアは、Webブラウザ、電子メールクライアント、FTPクライアントなどの様々なソフトウェアから認証情報を窃取することが知られています。
セキュリティインシデントカレンダー
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | セキュリティ技術 | 観測情報 | その他 |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 4月5日(月) | セキュリティ事件 | クリーニング会社は、同社が運営するオンラインサービスサイトに対する外部からのSQLインジェクション攻撃により、58,813名分の顧客クレジットカード情報が流出した可能性があることを公表した。流出した可能性がある顧客情報はクレジットカード名義人、クレジットカード番号、有効期限とのこと。 |
| 4月6日(火) | その他 | Atlassian社は、同社が提供するプロジェクト管理ツールにおいて、ユーザがプロジェクト情報管理画面の公開範囲を「公開」に設定することで、ボード内の情報がインターネット上に公開されていることについて公表した。また、同サービスを利用する複数企業において、情報の公開範囲設定の誤りにより、個人情報を閲覧されている事象が確認されているとのこと。 |
| 4月7日(水) | 脆弱性情報 | Cisco社は同社が提供するCisco Small Business RV110W、RV130、RV130W、及びRV215Wにリモートコード実行の脆弱性(CVE-2021-1459)が存在することを公開した。本脆弱性に対する回避策はなく、また影響を受ける製品のサポートは終了していることから、ソフトウェアアップデートのリリース予定はないとのこと。 |
| 4月12日(月) | 脆弱性情報 | 海外のセキュリティ企業は、FreeBSD、IPNet、NetX、及びNucleus NETのTCP/IPスタックに、DNSプロトコルのメッセージ圧縮に関連する9つの脆弱性が存在することを発表した。同社はこれらの脆弱性を「NAME:WRECK」と総称している。脆弱性が悪用された場合、サービス拒否(DoS)が発生したり、リモートからコードを実行されたりする可能性があるとのこと。 |
| 4月20日(火) | 脆弱性情報 | Pulse Secure社は、同社が提供するPulse Connect Secureに認証回避の脆弱性(CVE-2021-22893)が存在することを公表した。公表時点では同脆弱性は未修正だったが、2021年5月3日に修正バージョンが公開された。 |
| 4月21日(水) | 脆弱性情報 | トレンドマイクロ社は、同社が提供するTrend Micro Apex One、Trend Micro Apex One SaaS及びウイルスバスターコーポレートエディションに存在する脆弱性(CVE-2020-24557)を悪用した攻撃を確認したことを公表した。同社は、同脆弱性に対する修正プログラムを2020年9月に公開済みであり、未適用の場合は早期適用するように促している。 |
| 4月22日(木) | セキュリティ事件 | 内閣府は、同府職員が利用しているファイル共有ストレージに対する不正アクセスにより、231名分の個人情報が流出した可能性があることを公表した。流失した可能性のある個人情報は、氏名、所属、及び連絡先などが含まれているとのこと。 |
| 4月26日(月) | セキュリティ事件 | 光学機器・ガラスメーカは米国の子会社がサイバー攻撃の被害にあったことを公表した。ランサムウェアが使用されたとみられ、この件に関してサイバー犯罪グループが財務や顧客情報などの機密データを盗み出したとの犯行声明を出している。 |
| 4月27日(火) | セキュリティ事件 | 行政機関は、医療従事者向けCOVID-19ワクチン接種予約システムにおいて、特殊な解析ツールを用いて同システムに特定の操作を行うと接種予約者の個人情報が閲覧可能となる不具合があることを公表した。不具合により、接種予定者約27万人の個人情報が閲覧可能な状態となっていたとのこと。閲覧可能な状態となっていた個人情報の中には、氏名、生年月日、職種、及び接種券番号が含まれるとしている。 |
| 4月27日(火) | 脆弱性情報 | バッファロー社は、同社が提供するルータ、ブリッジ、及びコンバータ製品に脆弱性が存在することを公表した。隣接するネットワーク上の第三者によりデバッグ機能を有効化される脆弱性(CVE-2021-20716)の影響を受ける製品は既にサポートが終了しており、当該製品の使用停止が推奨されている。 |
| 4月29日(木) | 脆弱性情報 | Microsoft社は、複数のRTOS(Real Time Operating System)製品やライブラリなどに、メモリ割り当て処理における複数の脆弱性が存在することを発表した。同脆弱性を悪用された場合、デバイスをクラッシュさせられる可能性や、任意のコードを実行される可能性があるとのこと。同脆弱性は「BadAlloc」と名付けられており、発表時点で一部製品の修正が未対応となっている。 |
| 4月30日(金) | その他 | 内閣サイバーセキュリティセンター(NISC)は、交通機関・電力・水道等の重要インフラ事業者等に向けて、ランサムウェアによるサイバー攻撃に関する注意喚起を公表した。ランサムウェアに対する具体的な対応策について挙げられている。 |
ソフトウェアリリース情報
| 日付 | ソフトウェア | 概要 |
|---|---|---|
| 4月1日(木) | VMware Carbon Black Cloud Workload appliance | VMware社は、VMware Carbon Black Cloud Workload applianceに存在する脆弱性に対するセキュリティアップデートを公開した。
“VMSA-2021-0005” |
| 4月2日(金) | Python 3.8.9 | Pythonソフトウェア財団は、同社が提供するPythonに存在する脆弱性などが修正されたメンテナンスリリースを公開した。
“Python 3.8.9” |
| 4月4日(日) | Python 3.9.4 | Pythonソフトウェア財団は、同社が提供するPythonに存在する脆弱性などが修正されたメンテナンスリリースを公開した。
“Python 3.9.4” |
| 4月5日(月) | Android | Google社は、同社が提供するAndroidにおける4月の月例セキュリティ情報を公開した。
「Androidセキュリティ速報-2021年4月」 |
| 4月6日(火) | Node.js複数バージョン | Node.jsの開発チームは、同社が提供するNode.jsに存在する脆弱性に対するセキュリティアップデートを公開した。
“Node v10.24.1 (LTS)” |
| 4月7日(水) | Cisco SD-WAN vManage Software | Cisco Systems社は、同社が提供するCisco SD-WAN vManageソフトウェアに対するセキュリティアップデートを公開した。
“Cisco SD-WAN vManage Software Vulnerabilities” |
| 4月9日(金) | Aterm複数製品 | 日本電気株式会社は、同社が提供する複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。
「複数の Aterm 製品における脆弱性」 |
| 4月10日(土) | SonicWall On-premise Email Security
SonicWall Hosted Email Security |
SonicWall社は、同社が提供するOn-premise Email Security及びHosted Email Securityに存在する脆弱性に対するセキュリティアップデートを公開した。
“Security Advisory” |
| 4月13日(火) | Microsoft複数製品 | Microsoft社は、同社が提供する複数のソフトウェアに対する4月の月例セキュリティ更新プログラムを公開した。
「2021 年 4 月のセキュリティ更新プログラム」 |
| 4月13日(火) | Adobe複数製品 | Adobe社は、同社が提供する複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。
“Security update available for RoboHelp | APSB21-20” |
| 4月13日(火) | Chrome 89.0.4389.128 | Google社は、Google Chromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“Stable Channel Update for Desktop” |
| 4月13日(火) | SAP複数製品 | SAP社は、同社が提供する複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。
“SAP Security Patch Day – April 2021” |
| 4月14日(水) | Chrome 90.0.4430.72 | Google社は、Google Chromeに存在する複数の脆弱性の更新を含むアップデートを公開した。
“Stable Channel Update for Desktop” |
| 4月14日(水) | Juniper複数製品 | Juniper社は、同社が提供する複数製品に存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“2021-04 Security Bulletin: NFX Series: Hard-coded credentials allows an attacker to take control of any instance through administrative interfaces. (CVE-2021-0248)” |
| 4月15日(木) | WordPress 5.7.1 | WordPress Foundationは、同社が提供するWordPressに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“WordPress 5.7.1 Security and Maintenance Release” |
| 4月15日(木) | Chrome OS 89.0.4389.130 | Google社は、Chrome OSに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“Stable Channel Update for Chrome OS” |
| 4月19日(月) | Mozilla複数製品 | Mozillaは、Firefox、Firefox ESR、及びThunderbirdに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“Mozilla Foundation Security Advisory 2021-14” |
| 4月20日(火) | Oracle複数製品 | Oracle社は、同社が提供する複数の製品に対する定期更新プログラムを公開した。
“Oracle Critical Patch Update Advisory – April 2021” |
| 4月20日(火) | Chrome 90.0.4430.85 | Google社は、Google Chromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“Stable Channel Update for Desktop” |
| 4月20日(火) | Aruba複数製品 | Aruba社は、同社が提供する複数製品に存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“ClearPass Policy Manager Multiple Vulnerabilities” |
| 4月21日(水) | Drupal複数バージョン | Drupalは、同社が提供するDrupalに存在する脆弱性に対するセキュリティアップデートを公開した。
“Drupal core – Critical – Cross-site scripting – SA-CORE-2021-002” |
| 4月21日(水) | Chrome OS 90.0.4430.86 | Google社は、Chrome OSに存在する複数の脆弱性の更新を含むアップデートを公開した。
“Stable Channel Update for Desktop” |
| 4月21日(水) | Symantec Security Analytics複数バージョン | Broadcom社は、Symantec Security Analyticsに存在する脆弱性に対するセキュリティアップデートを公開した。
“OS Command Injection in Security Analytics” |
| 4月26日(月) | Apple複数製品 | Apple社は、同社が提供する複数製品に存在する脆弱性に対するセキュリティアップデートを公開した。
“About the security content of iOS 14.5 and iPadOS 14.5” |
| 4月26日(月) | Chrome 90.0.4430.93 | Google社は、Google Chromeに存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“Stable Channel Update for Desktop” |
| 4月27日(火) | FortiWAN 4.5.8、5.1.1 | Fortinet社は、FortiWANに存在する脆弱性に対するセキュリティアップデートを公開した。
“Authentication bypass in FortiWAN” |
| 4月28日(水) | BIND 9 | ISCは、BIND 9に存在する複数の脆弱性を修正するセキュリティアップデートを公開した。
“CVE-2021-25214: A broken inbound incremental zone update (IXFR) can cause named to terminate unexpectedly” |
| 4月29日(木) | F5 Networks複数製品 | F5 Networks社は、同社が提供する複数製品に存在する複数の脆弱性に対するセキュリティアップデートを公開した。
“K96639388: Overview of F5 vulnerabilities (April 2021)” |
| 4月29日(木) | PHP 7.3.28、8.0.5 | PHP開発チームは、PHPに存在する脆弱性に対するセキュリティアップデートを公開した。
“PHP 7.3.28 Released!” |
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
