Heartbleed攻撃は脆弱性公開から1週間で100万件超
IBMのSOCでは、130カ国以上4000社の顧客システムのセキュリティイベントを監視し、そこから得られる1日200億件に上るデータをリアルタイムに相関分析している。その解析結果を国内の動向にフォーカスして分析し、半年ごとに公表しているレポートが「Tokyo SOC情報分析レポート」だ。今回のレポートでは、4月に相次いで発生し、多くの担当者が対応に追われることになったOpenSSLの脆弱性(CVE-2014-0160と、Apache Strutsの脆弱性(CVE-2014-0094など)を中心に扱っている。
OpenSSLの脆弱性は、いわゆるHeartbleed攻撃として騒動になったもの。この脆弱性を悪用するとSSL通信を行っているプロセスの一定サイズのメモリの内容を読み取ることができる。このため、認証済ユーザーのログインセッション情報から、ユーザーがサーバーに送信したIDやパスワード、秘密鍵の情報まで漏れる可能性があった。
調査にあたったチーフ・セキュリティ・アナリストの井上博文氏によると「脆弱性公開直後の4月11日から大量の検知が確認され、検知数は減少しているものの、いまも攻撃が継続している状況」だという。4月11日から16日までの間は、検知数が1日あたり20万件以上に達する日があり、送信元IPアドレス数は11日から21日までの間に1日あたり1000アドレス前後確認された。7月末までのTokyo SOCでの検知件数の総数は130万件で、世界全体に占める日本国内の割合は19.1%だった。
送信IPアドレスは、多い順に、アメリカが47.4%、イギリスが31.9%、中国が10%。アメリカのIPアドレスは半数近くがLinode、Amazonといったクラウドサービス事業者のホストを使用していた。イギリスに関しては、特定のプロバイダのADSL利用者用のアドレスからの件数が多く、このアドレスでは、特定の海外企業のIPアドレスのみに攻撃を行っていたという。中国の場合は、特定のアドレスから大量に攻撃を行っているケースがある一方、特定のアドレスレンジからの分散型の攻撃の傾向が見られた。
攻撃先の業種は、金融が80.4%と最も多く、攻撃者が主に金融機関をターゲットにしている状況が明らかになった。次いで、IT・通信が10.1%と多く、なかでも、ホスティングやWebサービスといった一般顧客向けサービスを提供している事業者がターゲットになっていた。また、件数は少ないものの、ほとんどの企業が攻撃を受けていた。
対策としては、OpenSSLを使用しているサーバーや組み込みハードウェアの調査、OpenSSLのバージョンアップと証明書の再発行、ユーザーに対するパスワードの変更依頼などが求められた。ただ、多くの領域で使われているライブラリということもあり、調査や証明書再発行をスムーズに進めることができなかった企業もあった。井上氏は「バージョンアップやIPSでの防御設定など、組織内で迅速に対応が可能な体制が整っているかが問われた事例になった」と指摘した。
