[調査・レポート]

ボットによるログイン試行が人間を上回り66.5%を占める、アカマイ調査から

2017年12月19日(火)日川 佳三(IT Leaders編集部)

アカマイ・テクノロジーズは2017年12月19日、2017年第3四半期の「インターネットの現状/セキュリティ」レポートを発表した。DDoS攻撃については、IoTデバイスやAndroid端末を用いたボットネットが増える恐れがあるという。Web攻撃については、件数が前四半期比、前年同期比ともに大幅に増えている。

写真1●アカマイ・テクノロジーズでプロダクト・マーケティング・マネージャーを務める中西一博氏写真1●アカマイ・テクノロジーズでプロダクト・マーケティング・マネージャーを務める中西一博氏
拡大画像表示

 2017年Q3から始めた新たな調査として、ボットによるパスワードリスト型のログイン試行の規模について調べた。米Akamai Technologiesのサービスを利用している45社のWebサイトで観測したところ、約6億件(5億9177万4594件)のログイン試行のうち、約4億件(3億9392万4296件)がボットによる不正なログイン試行だったという。人間によるログイン試行を上回る66.5%がボットによって行われている。

 パケットを一斉に送りつけてサービスを停止に追い込むDDoS攻撃については、これまでと比べて攻撃の規模が増えていることが分かった。2017年Q3で最大規模のDDoS攻撃は、LinuxベースのIoTデバイスを狙ったマルウェアである「Mirai」によるボットネットによるもので、109Gビット/秒、15Mパケット/秒を記録した。

Miraiボットネットのライフサイクルは3日~1週間

 Miraiボットネットについては、2017年Q3から始めた新たな調査として、C&C(司令塔)サーバーのライフサイクルを調べている。Miraiボットネットのデータから、32日間にわたって12個のC&Cサーバーについて挙動を分析した。これによると、1つのC&Cサーバーの存在期間は3日から1週間程度と短いことが分かった。

図1●Miraiボットネットのライフサイクルはせいぜい1週間と短い。必要に応じて、その時生きているクラスタを束ねて攻撃を仕掛ける(出所:アカマイ・テクノロジーズ)図1●Miraiボットネットのライフサイクルはせいぜい1週間と短い。必要に応じて、その時生きているクラスタを束ねて攻撃を仕掛ける(出所:アカマイ・テクノロジーズ)
拡大画像表示

 1つのC&Cサーバーは、管理下にあるMiraiボットネットとともに、せいぜい1週間しか存続していない。こうしたクラスタ(1つのC&Cサーバーと、その管理下にあるIoTデバイス群)が、現れては消滅する。Miraiボットネットは、1つの巨大なボットネットがあるわけではなく、多数のクラスタに分割して存在しており、必要に応じて束ねられて攻撃に必要なボリュームを形成する。

 なお、企業内に潜んでいるマルウェアやボットが通信しているC&Cサーバーについても、C&CサーバーのIPアドレスを素早く切り替えるFast Flux手法について、今回初めて実態を調査した。この結果、DNSを用いたIPアドレスの切り替えを観測したという。この場合、マルウェアはIPアドレスを直接知っているわけではなく、ホスト名からその都度C&CサーバーのIPアドレスを調べている。

AndroidスマホのボットネットによるDDoS攻撃が増加

 WireXと呼ぶ、Androidスマートフォンを用いたボットネットも増えてきた。ソースIPアドレスは14万件に及び、同時に7万ノードがHTTPを用いたDDoS攻撃に駆り出されたことがあるという。ソースIPアドレスの所在地は100カ国以上に分散しており、日本でも少なくとも226個のIPアドレスを観測したという。

図2●WireXと呼ぶ、Androidスマートフォンを用いたボットネットが増えている(出所:アカマイ・テクノロジーズ)図2●WireXと呼ぶ、Androidスマートフォンを用いたボットネットが増えている(出所:アカマイ・テクノロジーズ)
拡大画像表示

 WireXは、バッテリ管理アプリケーションや動画再生アプリケーションを偽装したAndroidアプリで、これをインストールしたAndroidスマートフォンは、DDoS攻撃のためのボットネットを形成する。初回インストール時には不正なコードは含まれておらず、アップデート時に不正なコードが送り込まれるという。

DNSとNTPが依然としてDDoSの主要プロトコル、CLDAPも一般化

 DDoS攻撃に使われるプロトコルとしては、DNS(16%)とNTP(12%)が依然として主要な攻撃手法である。NTPは、リフレクション攻撃で使われる。送信元IPアドレスを偽った問い合わせをNTPサーバーに投げ、NTPサーバーから攻撃対象へとメッセージを返信させるものである。

 次点として、CLDAP(Lightweight LDAP)が8%以上で続いている。CLDAPは、DDoSにおける一般的な攻撃手法になったと考えられるとしている。一方で、アプリケーション層への攻撃は1%未満である。しかし、特定のWeb APIを狙い撃つ攻撃も観測しているので、対策は必要としている。

関連記事

Special

-PR-

ボットによるログイン試行が人間を上回り66.5%を占める、アカマイ調査から アカマイ・テクノロジーズは2017年12月19日、2017年第3四半期の「インターネットの現状/セキュリティ」レポートを発表した。DDoS攻撃については、IoTデバイスやAndroid端末を用いたボットネットが増える恐れがあるという。Web攻撃については、件数が前四半期比、前年同期比ともに大幅に増えている。

PAGE TOP