7月は「memcached」を悪用した攻撃や「.iqy」ファイル付きスパムメール攻撃を確認～IIJ調査

　株式会社インターネットイニシアティブ（IIJ）は、7月における国内のセキュリティ動向をまとめたレポートを、同社のセキュリティ情報サイト「wizSafe Security Signal」にて公開した。

DDoS攻撃は1日約20件、夜間から早朝にかけて発生

DDoS攻撃の検出件数（2018年7月）

　7月に検出したDDoS攻撃の件数は641件で、1日あたり20.68件を観測。攻撃の継続時間は、30分未満が87.52％、30分以上60分未満が7.02％、60分以上90分未満が3.12％、90分以上が2.34％だった。継続時間の最も長かった攻撃は2時間54分だった。

　最も大規模な攻撃では、毎秒238万個のパケットによって25.24Gbpsの通信量が発生していたという。この攻撃は主に分散メモリキャッシュシステム「memcached」を悪用したUDP Amplification攻撃で、特徴としては夜間から早朝にかけての発生が多く、いずれも10Gbps程度の攻撃であったことを観測した。

　DDoS攻撃を除くインターネットからの攻撃については、攻撃の約8割がNetisおよびNetcore製ルータの脆弱性を狙ったものだった。

　これらの攻撃は、UDP 53413番宛にパケットを送信し、外部サーバーからスクリプトをダウンロードさせることで、ルーターをマルウェアに感染させようと試みるIoTマルウェア「Mirai」の亜種だったそうだ。

　このほか、MySQLデータベースを管理するツール「phpMyAdmin」がサーバー上にインストールされているかを探索する「ZmEu Exploit Scanner」の検出が6月より増加したという。

攻撃種別トップ10の割合（2018年7月、NetisおよびNetcore社製ルータを狙った攻撃を除く）

拡張子「.iqy」の添付ファイルに注意、マルウェアをダウンロードするスパムメール

　ウェブサイト経由でマルウェアに感染させるマルウェアについては、トロイの木馬「Trojan.JS.Agent」が78.52％と全体の過半数を占めた。一方、コインマイナーの「Trojan.JS.Miner」は6月の26.51％から8.96％へと検出割合が低下しているが、検知数は増加しているという。

ウェブアクセス時に検出したマルウェア種別の割合（2018年7月）

　メール経由での攻撃では、「Trojan-Downloader.MSOfiice.Sliqy」「Email-Worm.Win32.Mydoom」を多く検出した。

　Trojan-Downloader.MSOffice.Sliqyは、拡張子「.iqy」のファイルがメールに添付されている。「.iqy」は、Windowsではウェブサイトからデータを取り込むためのファイル形式として、Excelに関連付けられているが、攻撃者はこの仕組みを利用し、添付ファイルを開いたときにインターネット上のサイトからマルウェアをダウンロードさせようとする。

メール受信時に検出したマルウェア種別の割合（2018年7月）

　検出したメールの件名と添付ファイル名の一部は以下の通りで、件名と添付ファイル名が一致しているものが確認された。

件名
• PDF_38995
• DOC_18624820462_13072018
• SCN_99792238_13072018
  
  添付ファイル名
• PDF_38995.iqy
• DOC_18624820462_13072018.iqy
• SCN_99792238_13072018.iqy