2018年8月10日

アーバーネットワークス株式会社

アーバーネットワークス、脅威インテリジェンスに関する新たなレポートを公開

アーバーネットワークスは、脅威インテリジェンスに関する新たなレポート「Netscout Threat Intelligence Report」を公開しました。本レポートは、インターネット上の脅威に関するモニタリングを行い、世界のインターネットトラフィックのおよそ3分の1を可視化する脅威レベル解析システム「ATLAS (Arbor Active Threat Level Analysis System)」によって得られたデータと知見によるものです。

脅威の状況は急速に変化しており、その影響は拡大し、手口も進化しています。DDoS攻撃においてありふれた手法とされていたものが、クライムウェアやスパイ行為につながっています。脅威の枠組みがインターネット規模に広がっているため、攻撃がどこでどのように実行され、それをどうすれば検知・阻止できるのかが、非常にわかりにくくなってきました。

本レポートでは、当社の顧客であるサービスプロバイダーからの脅威情報をベースに、セキュリティ調査チームのASERT (ATLAS Security Engineering & Response Team) がデータ分析および可視化を行い、2018年上半期(1月~6月)の脅威に関する状況をまとめました。主な内容は以下のとおりです。

1. DDoS攻撃はテラビット級の時代に  

昨冬に起きたMemcachedを悪用した攻撃でDDoS攻撃はテラビットの時代に突入しました。実際に当社では、2018年2月に、過去最大の1.7 TbpsのDDoS攻撃をミティゲーション(攻撃緩和)しました。

2. 攻撃の容量は増大、頻度は低下

2018年上半期において、28億回の攻撃を観測しました。確かにこれは相当な回数ですが、頻度よりも攻撃の大きさの方が注目に値します。2017年から2018年にかけて、攻撃サイズと規模が劇的に増大しましたが、攻撃頻度はわずかに低下しています。一方、頻度の低下がDDoS攻撃の減少を意味するものではありません。2018年上半期のDDoS攻撃の最大サイズは、前年同期と比べて174%拡大しました。攻撃ツールが洗練され、より大規模で効果的な攻撃を簡単に安くできるようになったことが大きな要因です。

3. 国家レベルの攻撃が拡大

多くの国が攻撃的なサイバープログラムを実施しており、幅広い分野の脅威アクターが観測されています。中国やロシアと関連するアクター以外にも国家が支援する攻撃が増えており、イランや北朝鮮、ベトナムに起因するキャンペーンも確認しています。

4. クライムウェアの攻撃手法が多様化

攻撃の最重要起点がEメールを使ったキャンペーンであることに変わりはありませんが、マルウェアの拡散を加速する方法においては注目に値する変化が起きています。クライムウェアの主要なグループは、2017年のWannaCryなどに影響を受け、認証情報を盗むマルウェアや従来型のローダーなど異なる目的を持つ他のマルウェアにワームのモジュールを追加しました。また、暗号通貨のマイニングに重点を置くマルウェアを観測することも増えています。法執行機関に目を付けられやすいランサムウェアに代わって、少ないリスクで、より利益を生む方法として認識されているようです。

5. 国家がDDoS攻撃の対象に

攻撃頻度の上昇よりも攻撃の規模が増大する傾向はどの地域にも言えることですが、その中でも集中的に標的にされている国や地域があります。アジア太平洋地域では、他の地域よりも大容量攻撃が数多く起きました。中国は標的とされる割合が高く、2018年上半期において、前年同時期には1回もなかった500Gbps以上の攻撃を17回受けています。

6. 標的にされる業界や業種が拡大

標的にされる業界や業種も前年に比べて変化が認められます。通信事業者やホスティングサービス事業者が引き続き攻撃対象の圧倒的多数を占めていますが、多くの業界・業種で大きなシフトが見られます。システムインテグレーターやコンサルティング企業への攻撃が増え、領事館や大使館、国際通貨基金、官公庁、国連などの政府機関への攻撃についても急激な上昇を確認しています。これらの機関によって代表される利益に対してイデオロギー的に反対の立場の人々や政府によってDDoSが利用されています。

7. 急速に利用が広がる新しいDDoS攻撃

一連のMemcached攻撃はMemcachedサーバーの設定ミスによる脆弱性を利用し、巨大なDDoS攻撃を実行するものでした。この攻撃は、最初の攻撃ツールに第一報を送るのにほとんど時間がかからず、グローバルにインパクトを与えました。かなりの人手によって脆弱性のあるサーバーは修復されましたが、このベクターはいまだ悪用可能なままであり、利用され続けます。新たなタイプのDDoSが登場すれば、それが消えてなくなることは決してありません。

8. 従来からの攻撃も新たな攻撃に進化

SSDP (Simple Service Discovery Protocol) は何年にもわたって、リフレクション/アンプリフィケーション攻撃に使用されてきました。ASERTでは、この攻撃が脆弱性を持つ数百万ものデバイスを使った新しいタイプのDDoS攻撃だという主張が誤りであることを示しましたが、一方でSSDPを悪用した真に新たな攻撃も発見しました。標準でないポートに対するSSDPリフレクション/アンプリフィケーション攻撃です。この攻撃の結果として生じる大量のUDPパケットは、一時的な送信元ポートおよび送信先ポートを使います。ミティゲーションが通常よりも困難なSSDPディフラクション攻撃の一つです。

9.標的型APT攻撃がインターネット規模に拡散

国家レベルのAPT (Advanced Persistent Threat) 攻撃が世界的に拡大を続けており、NotPetyaやCCleaner、VPNFilterなどの一連の攻撃がインターネット規模で観測されたことが特に注目されます。これらの攻撃は、場合によっては最終ターゲットが厳選されていたにもかかわらず、インターネット上で広く拡散されました。企業が長年かけて対処に慣れてきた標的型攻撃とは異なるものです。これらの攻撃は検知を避けて存在を維持するために、直接的にスピアフィッシングを行って範囲を限定することもあります。こうしたことからも、標的型攻撃はインターネット規模に拡大する可能性があります。

10. 新たなクライムウェアと新たな標的の出現

クライムウェアのアクターは、マルウェアの新たなモジュールを追加するだけでは満足せず、ASERTが発見したKardon Loaderのベータ版などの新しいプラットフォームを開発しました。Panda Bankerなどの著名なマルウェアプラットフォームも新たな標的に狙いをつけ始めています。

本レポート(英文)は以下のサイトでご覧いただけます。ダウンロードには登録が必要です。
https://www.netscout.com/threatreport

■アーバーネットワークスについて
DDoS攻撃対策製品およびソリューションを中心としたネットワークセキュリティー専門企業です。通信事業者および企業向けDDoS検知・防御製品、クラウド型の管理ソリューションを販売しています。約400社のサービスプロバイダーと共同で脅威レベル解析システム「ATLAS」を運用し、インターネット上の膨大な脅威情報を収集し、分析データとして世界に公開しています。米国Arbor Networks(マサチューセッツ州バーリントン)は2000年に創業、現在はネットワーク関連企業のNETSCOUT社のセキュリティ部門として事業を行っています。日本法人は2004年に設置されました。

情報提供元:PRワイヤー
記事名:「アーバーネットワークス、脅威インテリジェンスに関する新たなレポートを公開