脆弱性

ネットワーク攻撃のトレンド: 攻撃発信元として最も活発なのは中国、ロシア、米国

Clock Icon 2 min read

This post is also available in: English (英語)

概要

Unit 42のリサーチャーは、2020年5月1日から7月21日の間にかけて世界中のファイアウォールからグローバル ネットワーク トラフィックをキャプチャしてデータを分析し、最新のネットワーク攻撃の傾向を調査しました。弊チームの観察した攻撃の大半は重大度「high(高)」(56.7%)と分類され、ほぼ4分の1(23%)は「critical(重大)」と分類されていました。最もよく悪用されていた脆弱性はCVE-2012-2311CVE-2012-1823で、いずれもPHP CGIスクリプトのコマンドインジェクション脆弱性でした。これらのことから攻撃者が影響の大きいエクスプロイトを探していることがわかります。

また私たちは、ネットワーク攻撃を発信元の国別でも分析しました。注目すべきは中国が圧倒的多数をしめ、その後にロシア、米国が続いていることでしょう。これは中国、ロシア、米国の人口が多く、これらの国でのインターネット使用量が多いことが一因の可能性もあります。なおこれらの攻撃は攻撃者の物理的な所在地と合致しない国から発信されているように見える場合もあります。一部の攻撃者はプロキシサーバーや匿名プロキシで所在地を隠しています。

悪意のある活動は月曜日に最も多く見られ週末と休日に観測された攻撃はより少なくなっていました。また多くの攻撃者は、Torなどの匿名サービスで身元を隠そうとしていました。

パロアルトネットワークスのお客様は、脅威防止シグネチャの最新のリリースで次世代ファイアウォールを更新することでネットワーク攻撃から保護されています。

データ収集

本稿で分析したデータはすべて、ファイアウォール シグネチャでの「誤検知(False Positive)」を検出するために設計されたシステムから収集したものです。本システムは地理的に複数の場所にまたがる特定のファイアウォールの脅威トリガーを集約したものです。本システムはもともと誤検知識別用に開発されたものでしたが、「テストシグネチャ」と呼ばれる特別な種類のシグネチャを作成することによって、「すり抜け(False Negative) 」の可能性がある内容の検出にも利用できます。

なお、通常の脅威シグネチャとはちがってこれらのテストシグネチャはより広範囲をカバーしており、脆弱性の一般的なカテゴリにくわえて攻撃者によるエクスプロイト活動で観察されることの多い悪意のあるネットワークアクティビティも検出することを目的としています。ほとんどの場合、これらテストシグネチャによるトリガーは通常のシグネチャによるものと重複していて、同じ悪意のあるアクティビティを検出します。ただし、通常のシグネチャでは検出されないアクティビティを検出した場合は、それらをより綿密に分析することで、すり抜けかどうか判断します。

なお、ファイアウォールを通過するトラフィック量は多く、攻撃者はエクスプロイトを繰り返し使用する傾向があることから、似たようなネットワークデータからのトリガーが多数観察されています。そこでここでは手動による分析の効率化のため、そうした重複トリガーをグループ化し、関連性のある属性を持つHTTPリクエストは2回以上調査せずにすむようにしています。

本稿で得られた知見は2020年5月1日から7月21日の間にかけて収集・分析されたデータに基づいており、本稿で示したトレンドのほかに以下のUnit 42の過去ブログにも同収集データが使用されています。

攻撃の重大度

すべてのファイアウォール シグネチャには重大度のレベルが割り当てられており、この指標で脅威から受ける影響の度合いを示しています。私たちのチームが観察した攻撃の大半は重大度「high(高)」(56.7%)と分類されており、ほぼ4分の1(23%)が「critical(重大)」と分類されていました。これは、たとえばリモートコード実行(RCE)脆弱性でWebサーバーを完全に侵害するなど、影響の大きいエクスプロイトの利用に攻撃者の関心が高いことを示しています。

重大度が「low(低)」、「medium(中)」のシグネチャは、スキャンやブルートフォース攻撃の検出に使用されています。

この円グラフに示されているように、観察されたネットワーク攻撃では、攻撃者が重大度の高い攻撃に集中する傾向がありました。観察された攻撃の56.7%を占めるのは重大度「high」のものでした。
図 1 2020年5月1日から7月21日にかけて観測された攻撃の重大度の内訳

攻撃の発生日時

81日間分のデータを収集した結果、6月26日の週に最も多くの攻撃が発生していました。この週はCVE-2012-2311CVE-2012-1823のエクスプロイトを含む大きな攻撃があったことがわかりました。「critical」な攻撃の頻度はほぼ一定でしたが、重大度が「medium」および「high」の攻撃頻度には大きな上下変動が見られました。

こちらの棒グラフは、「medium(中)」、「high(高)」、「critical(重大)」な重大度と評価された攻撃が2週間ごとの増分にわけたさいの頻度を示しています。
図 2 観測された攻撃の重大度分布(隔週での測定)青のバーはCritical、赤のバーはHigh、深緑のバーはMediumを示す。X軸は日時、Y軸は検出数。

攻撃者は過去1年以内に開示された新しい脆弱性も多数利用していました。このことは、直近で発見された脆弱性からの保護には、入手可能になり次第ただちにセキュリティパッチを適用することがいかに重要かを物語っています。

ネットワーク攻撃傾向を判断する一環として悪用されたCVEの開示年観点から観察された攻撃を分類しました。本グラフは、隔週で測定されたこの情報を示しています。
図 3 観測された攻撃を悪用されたCVEの開示年ごとに分類(隔週での測定)

攻撃発信元

各ネットワーク攻撃の発信元国を識別してみると、その圧倒的多数が中国であることがわかりました。この後にロシア、米国と続きます。これは中国、ロシア、米国の人口が多く、これらの国でのインターネット使用量が多いことが一因の可能性もあります。なお、私たちが観察した国は必ずしも攻撃者の物理的な所在地と合致しているわけではない点に注意してください。攻撃者はプロキシサーバーや匿名プロキシでホップ数を水増しして所在地を隠していることがありえます。次のセクションでプロキシサーバーと匿名プロキシの使用方法について詳しく説明します。

以下の地図は観測された攻撃をその発信国の観点から分類したものです。ネットワーク攻撃の傾向を抽出すると、攻撃の起点として最も活発なのは中国、ロシア、米国であることがわかりました。
図 4 攻撃発信元の地理的分布
観測された攻撃起点別に国を頻度でランク付け。中国、ロシア連邦、米国、香港、英国、オランダ、タイ、インドネシア、メキシコ、ドイツ、韓国、ブラジルの順に並ぶ
図 5 攻撃の発信元の頻度による各国のランキング

ドメインカテゴリ分析

ここでは (1) ネットワークトラフィックからのホスト名とリクエストURL (2) 送信元IPアドレス、宛先IPアドレスから逆引きしたDNSドメイン名という2つのソースからドメイン情報を収集し、自社のURLフィルタリング サービスを使って各ドメイン名をカテゴリにマッピングしていきました。ドメインカテゴリを調べることで、ネットワーク攻撃に関連付けられたドメインの種別に関する詳細情報を得ようとたのです(図6参照)。

こちらの円グラフは観察されたネットワーク攻撃をそれらが関連付けられたドメイン種別の観点から分類したものです。ここからネットワーク攻撃の傾向をある程度把握できます。ここでの主な知見は次のとおりです。観測されたトラフィックの45.07%は悪意のあるドメイン名からのものでした。トラフィックの8.82%は、プロキシ回避および匿名プロキシ ドメイン カテゴリに分類されていました。
図 6 ネットワーク攻撃に関連付けられたドメイン種別。左側の円グラフは全体的な内訳を示し右側の円グラフは左側のオレンジ色で示した11.80%の攻撃をより詳しく示したもの。

図6からはトラフィックの45.07%が悪意のあるドメイン名に由来していることが示されています。このほかのトラフィックでは、攻撃がリダイレクトURLとして正当なWebサイトに埋め込まれています。ここでひとつ興味深いのが、トラフィックの8.82%が「Proxy Avoidance and Anonymizers(プロキシ回避と匿名プロキシ)」のカテゴリに分類されている点です。これは攻撃時にプロキシサービスや匿名サービスを使用して元の発信元が隠されていることを示しています。Torは最も有名なオープンソース匿名プロキシのひとつで、ボランティアのオーバレイノードを介してネットワークトラフィックの誘導を行い、発信元アドレスを隠すことができます。以下のCVE-2012-2311のCVE分析セクションではTorが使用された証左が示されています。

CVEの分析

あるシグネチャが特定の脆弱性からの保護を目的として設計されている場合、そのシグネチャにはCVE番号が関連付けられています。ですので、このデータを分析することで、最もよく攻撃に使われていたCVE番号のトップ10が判明しました。

こちらの図は、最も頻繁に利用されたCVEのトップ10という観点から観察されたネットワーク攻撃を分類したものです。
図 7 トップ10のCVE分布

攻撃者がCVE-2012-2311、CVE-2012-1823の脆弱性を悪用すると、対象マシン上で任意のコードを実行できる可能性があります。具体的には次の内容となっています。

  • CVE-2012-2311: 一部のバージョンのPHP(5.3.13未満および5.4.3未満の5.4.x)のphp-cgiは、%3Dシーケンスを含みかつ「=」文字を含まないクエリ文字列を適切に処理しない。これにより、遠隔にいる攻撃者はコマンドラインを配置することで任意のコードを実行可能になる。本脆弱性はCVE-2012-1823の不完全な修正が原因で発生する。
  • CVE-2012-1823: 一部のバージョンのPHP(5.3.12未満および5.4.3未満の5.4.x)のphp-cgiは、「=」文字を含まないクエリ文字列を適切に処理しない。これにより、遠隔にいる攻撃者はコマンドラインを配置することで任意のコードを実行可能になる。

図8は、CVE-2012-2311、CVE-2012-1823を悪用した攻撃の発信元となった国のトップ10を示しています。なおこの図で示した攻撃の発信元は必ずしも攻撃者の物理的所在地とは一致していない点に注意してください。攻撃者がプロキシサーバーや匿名プロキシでホップ数を水増しし、場所を隠していることもありえます。

CVE-2012-2311およびCVE-2012-1823を悪用した攻撃の起点となった国上位10か国: 中国 32.91%、香港 11.15%、タイ 7.90%、米国 7.78%、ロシア連邦 7.25%、台湾ROC 6.79%、シンガポール 6.18%、インドネシア 4.29%、韓国 3.19%、日本 1.52%、その他 11.03%
図 8 CVE-2012-2311、CVE-2012-1823を悪用する攻撃の発信元国トップ10

さらにCVE-2012-2311、CVE-2012-1823関連のトラフィックでDNSを逆引きしてのドメイン名分析も行いました。ここからTorのIPアドレスが一部のトラフィックで使用されていることがわかりました。こうしたケースで攻撃者は、Torを送信元アドレスや位置情報の隠蔽に使っていました。またTorはIPアドレス/ドメインのブラックリストに基づく検出の回避にも利用できます。次に、トラフィックからの逆引きDNSレコードの例をいくつか示します。

調査で収集された悪意のあるトラフィックで観察されたTorドメイン名には、tor-exit-anonymizer.appliedprivacy.net、tor-exit.dhalgren.orgなどがあります。
図 9 調査で収集された悪意のあるトラフィックでCVE-2012-2311、CVE-2012-1823を悪用する攻撃者が使用していたTorドメイン名

Torなどの匿名プロキシサービス使用にくわえ、一部の送信元ドメインはダイナミックDNSのものでした。ダイナミックDNSドメインは、IPとドメインのマッピングが次々変わっていくことから、攻撃者による静的検出回避に広く使われています。しかもダイナミックDNSサービスはほとんどが無料か、通常のDNSドメイン名と比べて安価です。

ネットワーク攻撃傾向分析で観察されたダイナミックDNSの使用例としては、node-uk2.pool. .dynamic.totinternet.net と node-sn1.pool. .dynamic.totinternet.net などがあげられます。
図 10 CVE-2012-2311、CVE-2012-1823を悪用する攻撃でのダイナミックDNS利用

私たちはまた、CVE-2012-2311、CVE-2012-1823を悪用する攻撃に、なにかしら典型的なタイミング パターンがあるかどうかを確認する目的でも同じトラフィックを分析しました。攻撃が検出されたタイムゾーンを発信元国の現地時間に変換することで、月曜日にもっとも活動が多く、土曜日と日曜日に最も活動が少ないことがわかりました。

たとえば攻撃発信元の上位3か国(中国、香港、タイ)の現地時間の分析は次のとおりです:

CVE-2012-1823、CVE-2012-2311の中国からの攻撃者の現地の平日の統計。X軸は曜日を表し、Y軸はそれらの日に観測された攻撃の割合を表します。
図 11 中国発のCVE 2012-2311、CVE-2012-1823を悪用する攻撃における現地時間の各曜日の統計。
CVE-2012-1823、CVE-2012-2311の香港からの攻撃者の現地の平日の統計。X軸は曜日を表し、Y軸はそれらの日に観測された攻撃の割合を表します。
図 12 香港発のCVE 2012-2311、CVE-2012-1823を悪用する攻撃における現時間の各曜日の統計。
CVE-2012-1823、CVE-2012-2311のタイからの攻撃者の現地の平日の統計。X軸は曜日を表し、Y軸はそれらの日に観測された攻撃の割合を表します。
図 13 タイ発のCVE 2012-2311、CVE-2012-1823を悪用する攻撃における現地時間の各曜日の統計。

図11-13は、中国、香港、タイ発のCVE-2012-2311、CVE-2012-1823を悪用する攻撃の統計を示していますが、攻撃数は曜日で異なることがわかります。このデータは月曜日の攻撃が他の曜日より多い傾向があることを示しています。

結論

以上をまとめますと、攻撃者は「critical」な攻撃をはっきりと好む傾向があります。おそらくは、より大きなインパクトを狙ってのことでしょう。攻撃の発信元国として最も活発なのは中国、ロシア、米国でした。2012年といえば8年前になりますが、この年に公開された脆弱性を使ったエクスプロイトもいまだ活発に見られました。それら脆弱性がいまでも悪用できるからです。このことから、組織が迅速にパッチを適用してセキュリティのベストプラクティスを実装する必要性が強調されます。以下にいくつか緩和策をあげておきます。

 

Enlarged Image