-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
日本など世界各地の組織が標的に:大規模DDoS仕掛ける新IoTボットネット
Securityonline[.]info – January 19, 2025
日本の大手企業や金融機関を含む世界各地の組織を狙った一連の大規模なDDoS攻撃に、新たに発見されたIoTボットネットが関与しているとトレンドマイクロが報告。MiraiやBashliteから派生したマルウェアを用いるこのボットネットは、RCEの脆弱性を悪用したり、脆弱な設定のパスワードを利用するなどしてIoTデバイスに感染し、攻撃を実施しているという。
ボットネットとDDoS攻撃の概要
トレンドマイクロは最近、あるIoTボットネットを発見。このボットネットのC2サーバーから大規模なDDoS攻撃コマンドが送られるのを、2024年の終わりから継続的に観測しているという。これらのコマンドは日本の組織やその他さまざまな国々の組織をターゲットとするもので、標的となった組織の中には一時的な接続の問題やサービス停止の問題を報告したものもあったとされる。
ボットネットは、以下を含む複数のコマンドを使い、さまざまな種類のDDoS攻撃を実施できるという。
- socket:莫大な数のTCP接続を使ってDDoS攻撃を行う
- handshake:莫大な数のTCP接続を確立し、ランダムなデータを送信することによってDDoS攻撃を行う
- stomp:STOMP(Simple Text Oriented Messaging Protocol)を使ってDDoS攻撃を行う
- gre:GRE(General Router Encapsulation)プロトコルを使ってDDoS攻撃を行う
- syn:TCP SYNフラッド攻撃を行う
- ack:TCP ACKフラッド攻撃を行う
- udph:UDPフラッド攻撃を行う
など
標的は日本含む世界各地の組織
トレンドマイクロが攻撃の対象となったIPアドレスを分析したところ、その所在はアジア、北米、南米、ヨーロッパなどで、中でも北米とヨーロッパに集中していたという。また国別では、米国(17%)とバーレーン(10%)、ポーランド(9%)が特に狙われていたとされる。
<攻撃のターゲットとなった上位10か国>
- 米国(17%)
- バーレーン(10%)
- ポーランド(9%)
- スペイン(7%)
- イスラエル(6%)
- ロシア(6%)
- 英国(4%)
- 日本(4%)
- ドイツ(4%)
- ブラジル(3%)
※攻撃コマンド内でターゲットと指定されていたIPアドレスの国別分布。IPアドレスは2024年12月27日〜2025年1月4日の期間に収集されたもの。
日本への攻撃における特異点
日本を狙った攻撃の割合は全対比で見ると4%に過ぎないものの、トレンドマイクロは、日本への攻撃とその他の国々への攻撃ではコマンドの種類が異なっていると指摘。
- 日本以外への攻撃では「socket」や「handshake」などのコマンドが使われていたものの、日本組織を狙った攻撃ではこれらのコマンドは使用されていなかった
- 日本への攻撃では「stomp」コマンドが最も多く使われた(全体の21%)のに対し、その他の国への攻撃におけるその割合はわずか7%だった
- 日本組織に対する攻撃では使用頻度の低かった「gre」コマンドが、日本以外の組織に対する攻撃では16%もの割合で使われていた
加えて、標的となったセクターにも違いが見られた。日本への攻撃は運輸、情報・通信、金融・保険業界の組織に対して仕掛けられていたが、日本以外の国々への攻撃では運輸業界の組織は狙われなかったとされる。
ボットネットの構成
トレンドマイクロは、グローバル脅威インテリジェンスを駆使してC2サーバーとの通信をモニタリングしたところ、攻撃で使われたデバイス348台分のIPアドレスを特定することに成功。またこれらのデバイスの属性やベンダーについても調査を行った結果、以下の統計が得られたという。
<デバイスのタイプ>
- ワイヤレスルーター:80%
- IPカメラ:15%
- ネットワークビデオレコーダー(NVR):2%
- その他:3%
<デバイスのベンダー>
- TP-Link:52%
- Zyxel:20%
- Hikvision:12%
- MikroTik:2%
- Dahua Technology:2%
- その他:12%
<デバイスの所在>
- インド:57%
- 南アフリカ:17%
- ブラジル:8%
- バングラデシュ:4%
- ケニア:3%
- その他:11%
IoTデバイスのセキュリティ確保は必須
今回の事例から明らかなように、ボットネットマルウェアに感染したデバイスによって、標的となった国や地域には多大なダメージが及び得る。特に近年ではIoTデバイスがサイバー攻撃のプラットフォームとして利用されるケースが増えているが、IoTデバイスが脆弱となる要因としては、パスワードなどをデフォルト設定のまま変更しない、ファームウェアやソフトウェアをアップデートせず古いまま使う、十分なセキュリティ機能が備わっていないデバイスを利用する、などが挙げられるという。
トレンドマイクロはIoTデバイス保護のためのベストプラクティスをいくつか提供しているほか、DDoS攻撃への対抗策を、UDPを使用するタイプの攻撃とTCPを使用するタイプの攻撃のそれぞれについて紹介している。
【無料配布中!】インテリジェンス要件定義ガイド
インテリジェンス要件定義に関するガイドブック:『要件主導型インテリジェンスプログラムの構築方法』
以下のバナーより、優先的インテリジェンス要件(PIR)を中心とした効果的なインテリジェンスプログラムを確立するためのポイントなどを解説したSilobreaker社のガイドブック『要件主導型インテリジェンスプログラムの構築方法』の日本語訳バージョンを無料でダウンロードいただけます。
<ガイドブックの主なトピック>
本ガイドブックでは、優先的インテリジェンス要件(PIR)の策定にあたって検討すべき点と、PIRをステークホルダーのニーズに沿ったものにするために考慮すべき点について詳しく解説しています。具体的には、以下のトピックを取り上げます。
- 脅威プロファイルの確立
- ステークホルダーの特定・分析
- ユースケースの確立
- 要件の定義と管理
- データの収集と処理
- 分析と生産
- 報告
- フィードバック
- 実効性の評価
