海の向こうの“セキュリティ”

第98回

ペアレンタルコントロールよりも、レジリエンスを育むべし　ほか

（2014/11/11 06:00）

　10月のセキュリティの話題としては、SSL 3.0の脆弱性「POODLE（Padding Oracle On Downgraded Legacy Encryption）」や、Microsoftの10月の更新プログラムに不具合が発生した件などが世界的に注目を集めました。

　一方、日本国内では、匿名内部告発サイトが12月に設立されることが発表されたほか、総務省による官公庁や大企業等を対象とした実践的サイバー演習「CYDER（CYber Defense Exercise with Recurrence）」が行なわれました。

URL

INTERNET Watch（2014年10月15日付記事） Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向: http://internet.watch.impress.co.jp/docs/news/20141015_671482.html
INTERNET Watch（2014年10月30日付記事） Microsoft、SSL 3.0脆弱性対策としてIEの「Fix it」を公開: http://internet.watch.impress.co.jp/docs/news/20141030_673801.html
INTERNET Watch（2014年10月21日付記事） マイクロソフト、10月の更新プログラムで一部ユーザーに不具合、配信を停止: http://internet.watch.impress.co.jp/docs/news/20141021_672326.html
毎日新聞（2014年10月17日付記事） 匿名リークサイト：12月に設立、公益目的の報道に活用: http://mainichi.jp/select/news/20141018k0000m040057000c.html
総務省のプレスリリース（2014年10月21日） 「実践的サイバー防御演習（CYDER）」の実施: http://www.soumu.go.jp/menu_news/s-news/01ryutsu03_02000085.html

Akamai、2014年第3四半期「インターネットの現状」セキュリティレポート

　10月23日、米Akamai Technologiesは2014年第3四半期の「インターネットの現状」セキュリティレポートを公開しました。すでに主要なポイントについては記事で紹介済みですので、今回はそれ以外の中からいくつかをピックアップして紹介します。

　DDoS攻撃において複数の攻撃ベクターを利用するマルチベクター型攻撃が全攻撃の約53％を占める中、第3四半期に実際に使われた攻撃ベクターの割合を示したのが、図7（Figure 7）です。Application Layerの攻撃が1割強であるの対し、9割近くがInfrastructure Layerの攻撃で、中でも最も多いのはSYNフラッドで全体の23％、次いでUDPフラッドとUDPフラグメントフラッドがそれぞれ15％と14％を占めています。また、2013年第3四半期以降の推移を見ると、NTPリフレクション攻撃が減少傾向にある一方、これまでほとんど観測されていなかったSSDPリフレクション攻撃が本四半期で急増し、7％を占めています。

図7（Figure 7）

DDoS攻撃の対象を業種ごとに分けて示したのが図10（Figure 10）です。

図10（Figure 10）

　最も攻撃されたのはオンラインゲームや賭博などの娯楽系で、全体の約34％を占めています。これらを対象とした攻撃はInfrastructure Layerが多く、例えばゲーム業界が受けている攻撃は、全SYNフラッドの65％、全UDPフラッドの42％、SSDPリフレクションの21％となっています。

　2番目に多く攻撃されているのはメディアで、全体の約24％を占めています。主にInfrastructure Layerの攻撃で、86％がSYNフラッドです。また、全HTTP GETフラッドの26％を受けています。

　前四半期の2番目から3番目に後退したのは、全体の約20％を占めているソフトウェア＆テクノロジーで、これはSaaSをはじめとするクラウドベースのサービスです。ここでは、全ACKフラッドの20％、全SSDPリフレクションの15％、全NTP攻撃の12％、全HTTP GETフラッドの16％を受けています。

　このように攻撃対象によって攻撃ベクターにも違いがあるようです。

　DDoS攻撃の攻撃元と昨年からの推移を示したのが図11（Figure 11）と図12（Figure 12）です。昨年の第3四半期には他を圧倒して63％以上を占めていた中国が激減し、代わりに米国がトップを占めています。また、日本の変化も激しく、昨年第3四半期に2％だったものが、2014年第2四半期に18％に急増、しかし同年第3四半期には4％に減少しています。一方、ブラジルの急増ぶりも目を引きます。

図11（Figure 11）

図12（Figure 12）

　あくまで観測された事実を粛々と紹介しているだけで、攻撃の傾向やその変化に対して特に深い考察や分析があるわけではないので、レポートとしては少々物足りなさを感じますが、世界規模で精緻に観測できるAkamaiによる「データ」はそれだけで十分に価値があります。考察や分析のための情報源として使うべき資料でしょう。

URL

INTERNET Watch（2014年10月24日付記事） DDoS攻撃が大規模化、100Gbps超の攻撃が3カ月間で17件発生～Akamai報告: http://internet.watch.impress.co.jp/docs/news/20141024_672910.html
Akamaiのプレスリリース（2014年10月24日） アカマイ、PLXsertの2014年第3四半期「インターネットの現状」セキュリティレポートを発表: http://www.akamai.co.jp/enja/html/about/press/releases/2014/press_jp.html?pr=102414

広告配信ネットワークを悪用した標的型Malvertising攻撃

　広告配信ネットワークを介してマルウェアをばらまく「Malvertizing」と呼ばれる攻撃手法はすでに一般的な攻撃手法と言える状況にありますが、基本的に攻撃対象は無差別です。ところが、この手法を使った標的型攻撃が確認されたとの報道がありました。

　これは米セキュリティ企業Invinceaが確認したもので、同社はこれを「micro-targeted malvertising」と呼んでいます。イメージとしては水飲み場型攻撃（ウェブ待ち伏せ攻撃）とMalvertizingを合わせたようなもので、攻撃者は攻撃対象の属性（IPアドレス、位置情報、User-Agent文字列に基づくFlash、OS、Javaおよびブラウザーのバージョン、対象者の業務上の関心事など）をもとに選択した攻撃対象が含まれるユーザー層向けの広告スペースを広告配信ネットワーク業者から購入して待ち伏せるというもの。しかも、マルウェアの拡散が目的ではない上に、攻撃活動を隠す必要があるため、長々と待ち伏せなどはせず、広告からのリダイレクトは一度に数分程度、その後、リダイレクト先の攻撃ページも捨てられてしまうため、一般的なブラックリストによる遮断が意味をなさないのです。さらに、Invinceaは、この攻撃の問題として、広告配信ネットワークの業者が、自らの利益のために、このような悪質な行為を抑えようとしない点を挙げています。

　同社のホワイトペーパーでは、この「micro-targeted malvertising」の事例として、複数の米軍需会社を対象とした「Operation DeathClick」を紹介しています。

URL

Threatpost（2014年10月17日付記事） APTs Target Victims with Precision, Ephemeral Malvertising: https://threatpost.com/apts-target-victims-with-precision-ephemeral-malvertising/108906
Invincea White Paper（2014年10月17日） Micro-Targeted Malvertising via Real-time Ad Bidding: http://www.invincea.com/2014/10/micro-targeting-malvertising-via-real-time-ad-bidding/