ニュース
6月は328件のDDoS攻撃を観測、「Mirai」ボットの特徴を持つアクセス増加も~IIJ調査
2019年7月31日 15:57
株式会社インターネットイニシアティブ(IIJ)は、6月における国内のセキュリティ動向をまとめたレポートを、同社のセキュリティ情報サイト「wizSafe Security Signal」にて公開した。
DDoS攻撃は1日あたり10.93件、最大規模の攻撃で8.11Gbpsの通信量が発生
6月に検出したDDoS攻撃の件数は328件で、平均すると1日あたり10.93件。最も大規模な攻撃では、148万ppsのパケットによって8.11Gbpsの通信量が発生していた。この攻撃は主にSSDPを用いたUDP Amplification攻撃、TCPのWell-knownポートを利用したSYN/ACKリフレクション攻撃だった。
「RDP Tunneling Attempt Detected」「Attempt to Read Password File」などの攻撃を確認
IIJマネージドIPS/IDSサービスでは、これまでの傾向と同様、NetisおよびNetcore社製ルーターの脆弱性を狙った攻撃を確認。全体の69.92%を占めていた。これらの攻撃を除いた割合については、トンネリングを用いたリモートデスクトップ接続を検出する「RDP Tunneling Attempt Detected」が最も多く検出されており、全体の10.73%を占めた。その半数以上は6月1日に検出したもので、ロシアのIPアドレスを送信元とする443/tcp宛の通信だった。これは5月27日~31日に検出したものと同じ傾向のため、5月末からの攻撃が6月1日まで継続した可能性がある。
6月の全体傾向では特定の攻撃が突出するのではなく、さまざまな攻撃がまんべんなく検出された。2番目に多く検出された「Attempt to Read Password File」は6月10日、20日、21日に集中して検出されており、同日に「Blind SQL Injection - Timing」と「SQL Injection - Exploit」も集中して観測された。
実在する組織名をかたった“偽”請求書メールが拡散6月13日は「Trojan-PSW.Win32.Fareit」の検出数増加
メール経由の攻撃では「Trojan.Win32.VBKryjeto」が10.89%を占めた。同マルウェアを含むメールの多くには、物品の購入に関する内容を装った件名と添付ファイル名が用いられていた。
このほか、「Trojan.Win32.Mycop」「VHO:Trojan-Downloader.MSOffice.SLoad」「VHO:Trojan.MSOffice.SAgent」「Trojan-PSW.Win32.Heye」が初めてトップ10入りしている。
6月13日にマルウェアの検出数が急増しているが、同日には「Trojan-PSW.Win32.Fareit」が多く検出されている。同マルウェアを検出したメールには、料金の支払いに関する内容を装った件名と添付ファイル名が用いられていた。
実在する組織名をかたった不審なメールも確認している。件名は、「緊急注文リクエスト」「注文の問い合わせ」「ご案内[お支払い期限:06月18日]」「緊急注文リクエスト」などがあった。
ウェブサイトアクセス時のマルウェア検出率については、「Trojan.Script.Agent」が全体の33.98%を占めた。複数のウェブサイトに蔵置されたJavaScriptを検出したもので、Cookie情報を含むリクエストヘッダーを外部ドメインに送信するものだった。
5500/tcp宛の通信増加、「Mirai」ボットの感染活動の可能性も
6月18日から5500/tcpに対するアクセスが増加した。5500/tcp宛通信のほとんどが中国のIPアドレスから送信されており、検出件数が最も多かったのは6月19日だった。SOCで観測した送信元IPアドレス数は1日最大7000件程度確認されたが、6月30日にかけて送信元IPアドレス数と検出件数は減少している。
中国を送信元とするアクセスは、2019年6月中旬から末日にかけて5500/tcp以外にも、22/tcpや23/tcp、80/tcp、2323/tcp、5555/tcp、60001/tcpに対して活発にアクセスを試みていた。
SOCで観測した5500/tcpへのアクセスは、観測した時期やその他のアクセス対象ポートの類似性からIoTボット「Mirai」の感染活動である可能性が高いという。