ニュース
10月は685件のDDoS攻撃を観測、「Emotet」感染につながる日本語件名の不審メールの増加も
2019年12月4日 14:27
株式会社インターネットイニシアティブ(IIJ)は、10月における国内のセキュリティ動向をまとめたレポートを、同社のセキュリティ情報サイト「wizSafe Security Signal」にて公開した。
DDoS攻撃は1日あたり22.09件、最大規模の攻撃で23.09Gbpsの通信量
10月に検出したDDoS攻撃の件数は685件で、平均すると1日あたり22.09件。最も大規模な攻撃では、1秒あたり310万パケットによって23.09Gbpsの通信量が発生していた。この攻撃は主に主にLDAP、DNS、NTPなど複数のプロトコルを用いたUDP Amplificationだった。
IIJマネージドIPS/IDSサービスでは、これまでの傾向と同様、NetisおよびNetcore社製ルーターの脆弱性を狙った攻撃を多く確認。全体の64.25%を占めていた。これらの攻撃を除いた割合については、「Blind SQL Injection - Timing」で、全体の18.66%を占めた。10月23日に最も多く検出され、中国を送信元とする攻撃が過半数を占めた。
2番目に多く観測されたのは、「PHP File Inclusion Vulnerability」で、全体の9.29%を占めた。10月第1週から第3週までに多く検出され、米国、中国、カナダを送信元とする攻撃を多く観測している。当該シグネチャにより検知した通信の大半は、User - Agentが脆弱性診断ツールである「OpenVAS」となっており、攻撃対象を探索していたものと推測される。
マルウェア「Emotet」に感染するdocファイルが添付されたメール、件名が日本語のものも見られるように
メール経由の攻撃では「Trojan.MSOffice.SAgent」が58.62%と多く検出された。マルウェアは、Microsoft Word 2003以前で使用されていた形式である、docファイルが添付されたメールで検出されており、同ファイルを開くと最終的には「Emotet」に感染する。同マルウェアを含むメールは10月16日、17日、23日、24日に多く検出された。
Emotetは2014年頃から確認されているマルウェアで、当初はバンキングマルウェアとして活動していたが、現在では他のマルウェアをダウンロードするなどさまざまな機能が追加されている。
Emotetが添付されているメールの件名は英語のものが中心だが、10月に検出されたメールの中には、日本語の件名が用いられているものも含まれていた。具体的な件名は、「現在のバージョン」「ドキュメント」「最後のオプション」「メッセージ」などが確認されている。
ウェブサイトアクセス時のマルウェア検出率については、「Trojan.Script.Agent」が全体の85.51%を占めた。複数のウェブサイトに設置されたJavaScriptを検出したもので、Cookieを含む情報を悪意ある外部ドメインに送信するものだった。
TCP 1433番ポート宛の通信増加、アクセス増加の要因は不明
10月6ごろからTCP 1433番ポートに対するアクセスが増加した。TCP 1433番ポートはMicrosoft SQL Serverにてインスタンスへの接続に用いられるポート番号になる。
10月10日のピーク時と増加前(10月1日)の件数を比較すると、アクセス試行件数が4.2倍の1万3230件、送信元IPアドレス数が7.6倍の2万5239件になった。
TCP 1433番ポート宛のアクセスが増加した3日後には、Microsoft製品のセキュリティ更新プログラムがリリースされているが、関連性の疑われる脆弱性は不明。アクセス増加の要因は判明していないが、リスク軽減のため不特定多数からのTCP 1433番ポート宛通信が不要な環境の場合は、信頼できるネットワークからのアクセスのみを許可するなど、適切なアクセス制御を行うようIIJでは推奨している。