中国のIPアドレスからの攻撃が65%以上――辞書/総当り攻撃
2つ目の辞書/総当り攻撃は、Webサイト改竄の原因の1つに挙げられる攻撃になっている。ログインIDとパスワードの組み合わせでログインの試行を繰り返し、組み合わせを推測して攻撃するという単純なものだが、依然として多く観測しており、特にSSHとFTPサービスを対象にした攻撃では、中国のIPアドレスからの攻撃が65%以上と最も高く、続いて米国の5.8%、韓国の5.0%という結果になったという。
「あくまで送信元IPが中国であり、攻撃者が中国にいるかどうかまでは把握できない。しかし、ユーザーは、不必要な中国からのアクセスを制限するだけで、多くの辞書/総当り攻撃を防ぐことができることを示している」(同氏)
試行攻撃の継続時間については、5時間以内の攻撃の送信元IPの割合がSSHサービスで41.0%、FTPサービスで22.0%となるなど「短時間でログインを試行して止める」傾向が確認できた。その一方で、5日以上の長期にわたって攻撃を継続する送信元IPの割合はSSHサービスで22.0%、FTPサービスで36.0%であり、15日以上の長期にわたって攻撃が行われた場合は、1IPアドレスあたりの平均検知数が少なくなることが確認できた。これは「長期にわたって少しずつログインを試行し、セキュリティ機器や監視の目を逃れる」ことを示したものだという。
ログイン試行が行われたアカウントについては、「admin」(全体の14.2%)、「administrator」(同7.3%)、「test」(同4.9%)といったよく使われるID名や、「mysql」「webmaster」「ftp」などサービスのデフォルト名が利用されていることから、デフォルトIDをそのまま利用することにあらためて注意を促した。
「特に、ハードウェア機器にデフォルトで設定されているアカウントIDをそのまま利用し、外部からアクセスを許してしまったといったケースもある。ミドルウェアの対策だけでなく、ハードウェア機器などの管理IDやパスワードをそのまま利用していないかもチェックする必要がある」(同氏)
前期の149件から61件に減少したが……――標的型メール攻撃の「見えない化」
3つ目の標的型メール攻撃の「見えない化」については、暗号化や難読化などのセキュリティ機器の検知を回避する技術が一般的になったことを指している。標的型メール攻撃の数は前期の149件から61件に減少したが、これは攻撃そのものの減少というより「見えない化」が進んだ結果を示したものだという。
たとえば、添付ファイルをパスワード付きZIPで送信すると、内容が暗号化されるため、ゲートウェイ型のアンチウイルスソフトやサンドボックス、ネットワークIPSなどでの検知ができなくなる。また、添付するファイルも、マルウェアを含むExcelファイルを使い、さらに攻撃コードやマルウェア本体を難読化するといった手法が使われるという。
* * * * *
レポートでは、このほか、DDoSの大規模化やCitadelボットネットに関するコラム、ログ分析を一元的に管理し、インシデント対応を行うSIEM(Security Information and Event Management)も紹介している。
■プレスリリース
http://www-06.ibm.com/jp/press/2013/08/2601.html
■2013年上半期Tokyo SOC情報分析レポート
http://www-935.ibm.com/services/jp/ja/it-services/soc-report-2013-h1.html
