このレポートは、JSOCが監視しているIDS/IPS、サンドボックス、ファイアウォール機器において、2017年4月から6月までの間に検知したセキュリティ攻撃を、ラックのセキュリティアナリストが分析し、インシデント傾向に加え、特に注目すべき脅威について、詳細に説明している。
・WannaCryの感染事例
システム上の文書、画像、動画などのファイルを暗号化し、それらのファイルの復号を条件として金銭を要求するランサムウェアの1つである「WannaCry」に感染したと考えられる重要インシデントを確認した。WannaCryは感染拡大を試みる機能を有しており、感染した端末は組織の内部ネットワーク、および外部のどちらに対しても感染活動を行う。内部ネットワークのシステムが感染すると、多数のファイルが暗号化され、さらに他のシステムへ感染が広がり、組織の業務に大きな支障をきたす恐れがある。
WannaCryはセキュリティパッチが公開されている脆弱性を狙っており、かつ無効化を推奨されていたWindowsの機能「SMBv1」を介して感染活動を行うことが知られている。今回の事例で、定期的なソフトウェアのアップデート、各種設定の見直しがインシデントを防ぐ鍵となることを再認識させられた。
・DDoS攻撃に関連する通信が増加傾向
SNMP、DNS、NTPをはじめとした、DDoS攻撃の踏み台として利用可能なサービスの探査通信を定常的に検知している。本探査通信により、外部ネットワークからDDoS攻撃の踏み台として利用できると判明した場合、対象サーバがDDoS攻撃に加担させられる可能性がある。なお、SOCにてNTPの探査通信の検知件数が一時的に急騰していることが確認できており、DDoS攻撃の準備が行われたと推測している。
このような探査通信は、別のサービスに対しても、継続して発生すると予想される。また、組織の管理下にあるサーバがDDoS攻撃に加担した場合、社会的な責任を追及される可能性があるため、サーバに対する定期的なセキュリティ診断や設定見直しを実施してほしい。
