画像提供:マイナビニュース

写真拡大

世界規模でクラウド・デリバリー・プラットフォームを提供しているアカマイ・テクノロジーズは12月19日、2017年第3四半期の「インターネットの現状/セキュリティ」レポートを発表した(PDF)。

今回のレポートのハイライトとしては以下のとおり。DDoS攻撃においては、第2四半期と比較するとやや増加傾向にあり、繰り返し攻撃の増加が顕著に見られた。また、IoTデバイスを狙うマルウェア、「Mirai」を用いたボットネットは100Gbpsを超える大規模攻撃と小規模ながらも攻撃先の許容量を超えた攻撃の二極化が進んでいる。Webアプリケーションへの攻撃も、第2四半期との比較で30%増加しており、SQLインジェクション、ローカルファイルインクルージョンの2種で85%を占めており、脅威はなお拡大している。

○増加するDDoS攻撃、サービス直結の企業狙いか

アカマイ・テクノロジーズ合同会社プロダクト・マーケティング・マネージャーの中西一博氏によれば、DDoS攻撃は残念ながら増加傾向にあると述べるとともに、第3四半期で最大のDDoS攻撃はMiraiボットネットから109Gbpsの大規模攻撃を観測。Mirai以外の攻撃手法のものでは104Gbpsの攻撃を観測したという。また、Miraiに関してはソースコードが公開されてしまったこともあり、様々な亜種が誕生している現状を鑑みると根絶することは非常に難しいのではないかとの見方を示した。

また、DDoS攻撃のターゲットとなった組織に行われた攻撃回数は、平均で3日に1回攻撃を受けている現状だという。なお、第3四半期でもっともDDoS攻撃を受けた組織ではなんと612回、1日平均約7回ものアタックを受けた計算となる。さらに、悪意ある者たちの攻撃先は、ゲーム業界が非常に大きな割合を占めたという。これは、攻撃を受けたことでサービスが停止してしまい企業活動そのものに影響がある企業が狙われているためだ。悪意ある者たちから「コンプライアンスへの意識が甘い」と思われており、脅迫すれば金銭取引に応じるとみられていることに一因があるようだ。

発表では、DDoS攻撃の新たなトレンドとして観測されたAndroidデバイスを踏み台にしてDDoS攻撃を行うWireXについても触れられた。モバイルアプリサーバやAPIサーバが主な標的となっていたWireXは、Googleアプリストアで公開されていた悪意あるAndroidアプリによって引き起こされ、ユーザーは知らずのうちに攻撃に荷担してしまっている場合もあるというもの。アカマイ・テクノロジーズの分析によれば、世界100カ国以上で攻撃ソースを確認しており、日本国内でも少なくとも226の攻撃ソースIPを確認しているという。

次いでWebアプリケーションへの攻撃傾向に説明がなされた。こちらも2017年第2四半期と比較すると攻撃総数は30%の増加、SQLインジェクションによる攻撃数が19%の増加傾向にあるという。またSQLインジェクションと同様に、ローカルファイルインクルージョンによる攻撃も多く、この2種の攻撃手法で85%もの割合を占める結果となった。

○巧妙化するMiraiボットネットや不正ログイン

さて、話題はMiraiボットネットの分析結果より得られた知見に移る。Miraiはボットネット化したIoTデバイスとそれらに命令を出すコマンド&コントロール(C&C)サーバで主に構成されており、アカマイ・テクノロジーズが32日間12のノードを分析した結果、ひとつのノードの存在期間は3日から1週間程度であること、ひとつのC&Cから1日に送信されたコマンドは非常に限定的であるということが判明したという。Miraiボットネットは一見巨大なひとつの集合体のように見えるが、実際は悪意ある者が使用しやすいよう、必要量に応じてクラスタを形成しているという。

パスワードリスト型攻撃(クレデンシャル・スタッフィング)に関しても興味深い分析結果が得られたという。ダークウェブやブラックマーケットで購入したユーザー認証情報をもとに、ボット等で認証情報の照合を行い、正規ユーザーになりすまして不正ログインを行い、金銭的な利益やデータ等を得るというものが、悪意ある者がとる一連の流れだ。

アカマイ・テクノロジーズがサービスを提供している有名企業のWebサイトで観測を行った結果、420種類ものボットを検知し3400万件以上ものアカウントが狙われたという。そして驚くべきことに、約6億の総ログイン中約4億件が不正なログインであったという。その割合は半数以上の66.5%。これらの数字は、2017年9月にわずか24時間のデータを収集・分析した結果であることから、如何に頻繁に攻撃が行われているかがわかるだろう。それに伴い、パスワードリスト型攻撃で用いられるボットも高度化、カスタム化が進んでいるという。

発表会の最後は、2018年も新たな脅威情報に基づき自社のセキュリティシステムを再評価、リスク対策プロセスの再検討が必要だと締めくくられた。