Tokyo SOC Report

柳条湖事件が起こった9月18日前後の攻撃動向について

2016-10-06

記事をシェアする:

Tokyo SOCでは例年、満州事変の発端となった柳条湖事件が発生した9月18日前後において、日本をターゲットとした攻撃の動向調査を行っています。ここでは本年度Tokyo SOCで確認した中国から日本に対する攻撃動向とその対策についてご紹介いたします。

■ 9月18日前後の中国から日本に対する攻撃数推移
図1に、TokyoSOCで観測したSQLインジェクション攻撃のうち、中国を送信元とする送信元IPアドレス数の推移を示します。
これは過去に攻撃予告が行われた際に使用を呼びかけられたツールのひとつがSQLインジェクション攻撃を行うものであったことに起因しており、中国を送信元とするSQLインジェクション攻撃の送信元IPアドレス数の増減を分析することで、この攻撃活動に賛同した攻撃参加者数の増減をある程度推察できるためです。

2014年頃までは9月18日前後に中国を送信元とする攻撃のIPアドレス数の増加が見られましたが、ここ数年は落ち着いている状況です。2016年に関しても、特に9月18日前後に中国を送信元とする攻撃の増加は確認されませんでした。

図1. TokyoSOCで観測したSQLインジェクション攻撃のうち中国を送信元とする送信元IPアドレス数の推移

■ 攻撃の動向
本件に関わる過去の攻撃では以下の活動が確認されています。
このような攻撃は特別に行われるものではなく、平常時からインターネット上で観測されている一般的な攻撃となります。

脆弱性を狙った攻撃（Webアプリケーション、ミドルウェア、OS）
管理アカウントの奪取を狙った攻撃
DDoS攻撃によるサービス妨害攻撃

■ 対策
本攻撃に対する特別な対策は必要ありません。
平常時から実施する必要がある次の基本的なセキュリティー対策が行われていることをご確認ください。

公開サービスに攻撃可能な脆弱性が残されていないか
管理通信を行うアクセス元のIPアドレスを限定できているか

また中国を送信元とする攻撃に限らず、最近の事例としては太地町のイルカ漁への抗議を理由としたアノニマスによる日本をターゲットとした攻撃が確認されているように、DDoS攻撃を使用して対象サイトをアクセス不能にする攻撃が話題となっています。
万が一DDoS攻撃を受けた場合を想定して、下記の通り技術・運用の両面から事前に対策を考えておくことで、攻撃発生時の対応をスムーズに行うことが可能となります。

技術面

IDS/IPSは脆弱性の悪用を試みる、通常とは異なる不正な通信を検知・遮断することを主な目的とするセキュリティー機器です。
そのため、昨今話題となっているような、正常なHTTPリクエストを大量に送信するタイプのDDoS攻撃の場合、通信内容のみでIDS/IPSが不正なものであると判定することが一般的には困難です。
このようなタイプの攻撃に対しては、CDN(コンテンツ・デリバリー・ネットワーク)やISP(インターネット・サービス・プロバイダー)が提供しているDDoS対策専用サービスをご利用頂く等の多層防御により対策を行っていただくことを推奨いたします。

運用面

攻撃を受けて外部公開サイトがアクセス不能となった場合を想定し、セキュリティー・インシデント発生時の連絡フローおよび運用体制の見直しを実施いただくことを推奨いたします。
また、該当の外部公開サイトがアクセス不能となった場合のダウンタイムの許容時間や損失金額の試算、風評被害等による影響の評価を行い、費用対効果を考慮した上で、必要に応じてDDoS対策専用サービスを使用するなど技術面からの対策を併せてご検討いただくことを推奨いたします。