取材リポート
トップ  > コラム&リポート 取材リポート >  File No.19-04

【19-04】米中に新たなサーバー攻撃集中 サイバー通信観測レポート公表

2019年2月13日 小岩井忠道(中国総合研究・さくらサイエンスセンター)

 国・地域を越えて飛び交うサイバー攻撃の状況を監視している国立研究開発法人情報通信研究機構(NICT)は6日、「NICTER観測レポート2018年」と名付けた報告書を公表した。DRDoS 攻撃(Distributed Reflection Denial-of- Service Attack)と呼ばれるコンピューターのサーバーに対する新たなサイバー攻撃が米国と中国に集中していることが明らかにされている。

image

国・地域別DRDoS被攻撃件数(「NICTER観測レポート2018年」から)

 NICTERは、ネットワークインシデント対策センター(Network Incident analysis Center for Tactical Emergency Response)の略語で、世界全域を対象にサイバー攻撃に関連する通信の観測、分析を続け、毎年報告書を公表している。DRDoS 攻撃に対しては、NICTと吉岡克成横浜国立大学准教授が共同で観測を実施している。

 DRDoS 攻撃というのは、標的となるコンピューターのサーバーにネットワークを通じ複数の機器から大量の処理を要求し、サービスを機能停止の状況に追い込む。DDoS攻撃(Distributed Denial of Service Attack)の一種だが、Reflectionという語が入っているように「反射」を利用する。標的に直接、リクエストを送らず標的のIPアドレスに偽装してサーバーにリクエストを送り、サーバーから偽装されたIPアドレスにリクエストを送らせることで攻撃を増幅させるという手口だ。

 NICTと吉岡准教授の観測は、記録された操作ログ・通信ログなどから不正アクセスの手法と傾向の調査を行うハニーポットと呼ばれる手法による。9台の装置による観測の結果、2018年2月から12月までの11カ月間で、世界で約1,190万件、1日当たり約3万5,000件のDRDoS 攻撃が観測された。前年も同規模の攻撃が観測されており、依然としてうちDRDoS 攻撃が頻繁に起きていることを示している。攻撃を受けた国・地域では、米国が最も多く31.2%を占め、次いで中国13.0%、香港6.9%、サウジアラビア5.2%、フランス4.1%となっている。米国が1位で、中国が2位というのは前年と同じ。香港を合わせると米国、中国、香港だけで全攻撃の半数以上を受けていることになる。

 日本宛ての攻撃数は国・地域別で見ると17位で0.9%(約10万件、1日当たり309件)。大きな数字ではないものの前年より増えており、日本を対象とした攻撃も継続して発生していることを示している。日本の攻撃対象には、クラウドサービスや通販サイト、ゲームサイトと推測されるものが含まれている。

 NICTがネットワークインシデント対策センター(NICTER:Network Incident analysis Center for Tactical Emergency Response)を設置して、サイバー攻撃観測を始めたのは2005年。2003年ごろBlasterという名前のウイルスによって、世界で800万台のコンピューターが感染したのがきっかけだった。どのような規模で感染が広がったのか分からないと対応もできない、という危機感が高まったためだ。ハニーポットと呼ばれる手法とは別の、ダークネットと呼ばれる観測網ができている。

 ダークネットはインターネットに接続された全ての機器に割り振られている固有の番号「IPアドレス」を利用する。番号は割り振られてはいるもののユーザーがいないIPアドレスが世界中にはたくさんある。IPアドレスを利用者に配分する世界各地の指定事業者やインターネットサービスプロバイダーの協力を得て、ユーザーのいないIPアドレスにセンサーを設置し、通信を常時、観測できるようにネットワーク化したのがダークネットだ。

 ユーザーがいないIPアドレスに対しても一方的に送られてくる通信は、不正の疑いがある、あるいは有害な通信として容易に区別可能。ダークネットの観測用IPアドレスの数は約30万。45億弱という世界中のIPアドレスの数に比べると一部ではあるが、一方的に送りつけられた通信の量、状況から地球全体でサイバー攻撃とみなされる通信がどのように飛び交っているか全体の傾向が分かる。

image

過去10年間の1観測 IPアドレス当たりの年間総観測通信数(NICTプレスリリースから)

 ダークネットの観測によっても、サイバー攻撃の手口は多様、巧妙になっていることが分かった。パソコンやスマホからインターネット接続ができなくなるといったIoT(モノのインターネット)機器を狙った攻撃通信が引き続き多く観測されたのが、今回の報告でも強調されている。さらに、仮想通貨の不正取得を狙ったものや、スマートフォン、テレビ、カーナビゲーションシステムなど幅広く使われている基本ソフト(OS)であるアンドロイドを搭載したIoT機器を狙った攻撃も新たに観測された。

 IoTは監視カメラ、ホームルーター、モバイルルーターなど身近なものをはじめさまざまな製品に導入が進む。これまでの攻撃手法は、多くの機器で汎用的に動作するネットワークプロトコルの脆弱性を狙ったものが多かった。しかし、2018年には、特定の機器のみで動作するサービスや特定の機器の脆弱性を狙った攻撃が増えている。対策が進まない脆弱性を共通に抱える大量の機器を一網打尽に乗っ取れるという特徴を持つ。こうした変化が生じていることを「NICTER観測レポート2018年」は強調している。

 ただし、ダークネットの観測では、米国や中国に攻撃が集中しているという結果は示されていない。DRDoS 攻撃の矛先が米国や中国に向いている理由について、久保正樹NICTサイバーセキュリティ研究室上級研究技術員は次のように語っている。

「米国や中国が多い理由としては,これらの国におかれたメジャーなサービスを提供するWebサーバーが攻撃対象となったからと考えられる。 amazon や google といった米国のサービスや,中国のクラウドサービスなどが対象になっている」

関連リンク