ネットワーク攻撃のトレンド: 攻撃発信元として最も活発なのは中国、ロシア、米国

This post is also available in: English (英語)

概要

Unit 42のリサーチャーは、2020年5月1日から7月21日の間にかけて世界中のファイアウォールからグローバル ネットワーク トラフィックをキャプチャしてデータを分析し、最新のネットワーク攻撃の傾向を調査しました。弊チームの観察した攻撃の大半は重大度「high（高）」（56.7％）と分類され、ほぼ4分の1（23％）は「critical（重大）」と分類されていました。最もよく悪用されていた脆弱性はCVE-2012-2311とCVE-2012-1823で、いずれもPHP CGIスクリプトのコマンドインジェクション脆弱性でした。これらのことから攻撃者が影響の大きいエクスプロイトを探していることがわかります。

また私たちは、ネットワーク攻撃を発信元の国別でも分析しました。注目すべきは中国が圧倒的多数をしめ、その後にロシア、米国が続いていることでしょう。これは中国、ロシア、米国の人口が多く、これらの国でのインターネット使用量が多いことが一因の可能性もあります。なおこれらの攻撃は攻撃者の物理的な所在地と合致しない国から発信されているように見える場合もあります。一部の攻撃者はプロキシサーバーや匿名プロキシで所在地を隠しています。

悪意のある活動は月曜日に最も多く見られ週末と休日に観測された攻撃はより少なくなっていました。また多くの攻撃者は、Torなどの匿名サービスで身元を隠そうとしていました。

パロアルトネットワークスのお客様は、脅威防止シグネチャの最新のリリースで次世代ファイアウォールを更新することでネットワーク攻撃から保護されています。

データ収集

本稿で分析したデータはすべて、ファイアウォール シグネチャでの「誤検知（False Positive）」を検出するために設計されたシステムから収集したものです。本システムは地理的に複数の場所にまたがる特定のファイアウォールの脅威トリガーを集約したものです。本システムはもともと誤検知識別用に開発されたものでしたが、「テストシグネチャ」と呼ばれる特別な種類のシグネチャを作成することによって、「すり抜け（False Negative) 」の可能性がある内容の検出にも利用できます。

なお、通常の脅威シグネチャとはちがってこれらのテストシグネチャはより広範囲をカバーしており、脆弱性の一般的なカテゴリにくわえて攻撃者によるエクスプロイト活動で観察されることの多い悪意のあるネットワークアクティビティも検出することを目的としています。ほとんどの場合、これらテストシグネチャによるトリガーは通常のシグネチャによるものと重複していて、同じ悪意のあるアクティビティを検出します。ただし、通常のシグネチャでは検出されないアクティビティを検出した場合は、それらをより綿密に分析することで、すり抜けかどうか判断します。

なお、ファイアウォールを通過するトラフィック量は多く、攻撃者はエクスプロイトを繰り返し使用する傾向があることから、似たようなネットワークデータからのトリガーが多数観察されています。そこでここでは手動による分析の効率化のため、そうした重複トリガーをグループ化し、関連性のある属性を持つHTTPリクエストは2回以上調査せずにすむようにしています。

本稿で得られた知見は2020年5月1日から7月21日の間にかけて収集・分析されたデータに基づいており、本稿で示したトレンドのほかに以下のUnit 42の過去ブログにも同収集データが使用されています。

• 実際の悪用が確認されているvBulletinの事前認証リモートコード実行(RCE)脆弱性CVE-2020-17496のエクスプロイト
• Lucifer: クリプトジャッキングとDDoSを行う新しいハイブリッドマルウェアが高および緊急レベルの脆弱性をエクスプロイトしてWindowsデバイスに感染
• GrandstreamおよびDrayTekデバイスのエクスプロイトで拡大する新たなHoaxcalls DDoSボットネット
• ZyxelのNASの脆弱性（CVE-2020-9054）を標的にした新しいMirai亜種、Mukashiが発見される

攻撃の重大度

すべてのファイアウォール シグネチャには重大度のレベルが割り当てられており、この指標で脅威から受ける影響の度合いを示しています。私たちのチームが観察した攻撃の大半は重大度「high（高）」（56.7％）と分類されており、ほぼ4分の1（23％）が「critical（重大）」と分類されていました。これは、たとえばリモートコード実行（RCE）脆弱性でWebサーバーを完全に侵害するなど、影響の大きいエクスプロイトの利用に攻撃者の関心が高いことを示しています。

重大度が「low（低）」、「medium（中）」のシグネチャは、スキャンやブルートフォース攻撃の検出に使用されています。

攻撃の発生日時

81日間分のデータを収集した結果、6月26日の週に最も多くの攻撃が発生していました。この週はCVE-2012-2311、CVE-2012-1823のエクスプロイトを含む大きな攻撃があったことがわかりました。「critical」な攻撃の頻度はほぼ一定でしたが、重大度が「medium」および「high」の攻撃頻度には大きな上下変動が見られました。

攻撃者は過去1年以内に開示された新しい脆弱性も多数利用していました。このことは、直近で発見された脆弱性からの保護には、入手可能になり次第ただちにセキュリティパッチを適用することがいかに重要かを物語っています。

攻撃発信元

各ネットワーク攻撃の発信元国を識別してみると、その圧倒的多数が中国であることがわかりました。この後にロシア、米国と続きます。これは中国、ロシア、米国の人口が多く、これらの国でのインターネット使用量が多いことが一因の可能性もあります。なお、私たちが観察した国は必ずしも攻撃者の物理的な所在地と合致しているわけではない点に注意してください。攻撃者はプロキシサーバーや匿名プロキシでホップ数を水増しして所在地を隠していることがありえます。次のセクションでプロキシサーバーと匿名プロキシの使用方法について詳しく説明します。

ドメインカテゴリ分析

ここでは (1) ネットワークトラフィックからのホスト名とリクエストURL (2) 送信元IPアドレス、宛先IPアドレスから逆引きしたDNSドメイン名という2つのソースからドメイン情報を収集し、自社のURLフィルタリング サービスを使って各ドメイン名をカテゴリにマッピングしていきました。ドメインカテゴリを調べることで、ネットワーク攻撃に関連付けられたドメインの種別に関する詳細情報を得ようとたのです（図6参照）。

図6からはトラフィックの45.07％が悪意のあるドメイン名に由来していることが示されています。このほかのトラフィックでは、攻撃がリダイレクトURLとして正当なWebサイトに埋め込まれています。ここでひとつ興味深いのが、トラフィックの8.82％が「Proxy Avoidance and Anonymizers（プロキシ回避と匿名プロキシ）」のカテゴリに分類されている点です。これは攻撃時にプロキシサービスや匿名サービスを使用して元の発信元が隠されていることを示しています。Torは最も有名なオープンソース匿名プロキシのひとつで、ボランティアのオーバレイノードを介してネットワークトラフィックの誘導を行い、発信元アドレスを隠すことができます。以下のCVE-2012-2311のCVE分析セクションではTorが使用された証左が示されています。

CVEの分析

あるシグネチャが特定の脆弱性からの保護を目的として設計されている場合、そのシグネチャにはCVE番号が関連付けられています。ですので、このデータを分析することで、最もよく攻撃に使われていたCVE番号のトップ10が判明しました。

攻撃者がCVE-2012-2311、CVE-2012-1823の脆弱性を悪用すると、対象マシン上で任意のコードを実行できる可能性があります。具体的には次の内容となっています。

• CVE-2012-2311: 一部のバージョンのPHP（5.3.13未満および5.4.3未満の5.4.x）のphp-cgiは、％3Dシーケンスを含みかつ「=」文字を含まないクエリ文字列を適切に処理しない。これにより、遠隔にいる攻撃者はコマンドラインを配置することで任意のコードを実行可能になる。本脆弱性はCVE-2012-1823の不完全な修正が原因で発生する。
• CVE-2012-1823: 一部のバージョンのPHP（5.3.12未満および5.4.3未満の5.4.x）のphp-cgiは、「=」文字を含まないクエリ文字列を適切に処理しない。これにより、遠隔にいる攻撃者はコマンドラインを配置することで任意のコードを実行可能になる。

図8は、CVE-2012-2311、CVE-2012-1823を悪用した攻撃の発信元となった国のトップ10を示しています。なおこの図で示した攻撃の発信元は必ずしも攻撃者の物理的所在地とは一致していない点に注意してください。攻撃者がプロキシサーバーや匿名プロキシでホップ数を水増しし、場所を隠していることもありえます。

さらにCVE-2012-2311、CVE-2012-1823関連のトラフィックでDNSを逆引きしてのドメイン名分析も行いました。ここからTorのIPアドレスが一部のトラフィックで使用されていることがわかりました。こうしたケースで攻撃者は、Torを送信元アドレスや位置情報の隠蔽に使っていました。またTorはIPアドレス/ドメインのブラックリストに基づく検出の回避にも利用できます。次に、トラフィックからの逆引きDNSレコードの例をいくつか示します。

Torなどの匿名プロキシサービス使用にくわえ、一部の送信元ドメインはダイナミックDNSのものでした。ダイナミックDNSドメインは、IPとドメインのマッピングが次々変わっていくことから、攻撃者による静的検出回避に広く使われています。しかもダイナミックDNSサービスはほとんどが無料か、通常のDNSドメイン名と比べて安価です。

私たちはまた、CVE-2012-2311、CVE-2012-1823を悪用する攻撃に、なにかしら典型的なタイミング パターンがあるかどうかを確認する目的でも同じトラフィックを分析しました。攻撃が検出されたタイムゾーンを発信元国の現地時間に変換することで、月曜日にもっとも活動が多く、土曜日と日曜日に最も活動が少ないことがわかりました。

たとえば攻撃発信元の上位3か国（中国、香港、タイ）の現地時間の分析は次のとおりです:

図11-13は、中国、香港、タイ発のCVE-2012-2311、CVE-2012-1823を悪用する攻撃の統計を示していますが、攻撃数は曜日で異なることがわかります。このデータは月曜日の攻撃が他の曜日より多い傾向があることを示しています。

結論

以上をまとめますと、攻撃者は「critical」な攻撃をはっきりと好む傾向があります。おそらくは、より大きなインパクトを狙ってのことでしょう。攻撃の発信元国として最も活発なのは中国、ロシア、米国でした。2012年といえば8年前になりますが、この年に公開された脆弱性を使ったエクスプロイトもいまだ活発に見られました。それら脆弱性がいまでも悪用できるからです。このことから、組織が迅速にパッチを適用してセキュリティのベストプラクティスを実装する必要性が強調されます。以下にいくつか緩和策をあげておきます。

• Best Practice Assessment（ベストプラクティス評価）を実行し、よりよいセキュリティ態勢のために変更すべき設定がないかどうか確認します。
• パロアルトネットワークスの次世代ファイアウォールで継続的に脅威防御シグネチャを更新します。