2023年6月観測レポートサマリ
本レポートでは、2023年6月中に発生した観測情報と事案についてまとめています。
当月はDDoS攻撃の総攻撃検出件数及び1日あたりの平均件数は先月から増加しました。最大規模を観測した攻撃はSYN FloodやUDP Amplificationなど複数の攻撃手法を組み合わせたものでした。また、この攻撃は最長時間を観測した攻撃でもあり、149時間47分にわたるものでした。
IPS/IDSにおいて検出したインターネットからの攻撃について、当月はApache HTTP Serverの脆弱性(CVE-2021-41773)を利用した攻撃が最も多く観測されています。次点は前月最も多く観測されたSQLインジェクションでした。
Webサイト閲覧時における検出では、前月と同様に難読化されたJavaScriptが多く観測されています。不審なメールの分析では、金銭の要求や脅迫を目的としたメールを多く観測しています。また、AgentTeslaやPurpleFoxへの感染を狙うファイルを添付するメールを観測しています。
DDoS攻撃の観測情報
本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。
攻撃の検出件数
以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は363件であり、1日あたりの平均件数は12.10件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,879万ppsのパケットによって115.06Gbpsの通信が発生しました。この攻撃はSYN FloodやUDP Amplificationなど複数の攻撃手法を組み合わせたものでした。当月最も長く継続した攻撃もこの通信であり、およそ149時間47分にわたって攻撃が継続しました。
IIJマネージドセキュリティサービスの観測情報
以下に、今回の対象期間に検出した1サイト当たりの攻撃検出件数(図-2)と攻撃種別トップ10の割合(図-3)を示します。
対象期間内に最も多く検出したのはApache HTTP Server path traversal and file disclosure (CVE-2021-41773)で、10.97%を占めていました。当該シグネチャで検出された攻撃はDocumentRoot外のファイルへアクセスを試みるもので、大半が脆弱性の有無を調査していると思われる内容でした。攻撃のパス部には、Apache HTTP Serverのデフォルトページで使用されるファイル「/icons/sphere1.png」などを確認しています。なお、7位のApache HTTP Server path traversal and file disclosure (CVE-2021-42013)は、CVE-2021-41773に対する不十分な修正を悪用した攻撃を検出するものです。これらの詳細については「Apache HTTP Server 2.4.50におけるパストラバーサル脆弱性(CVE-2021-42013)の発見」で解説しています。
2番目に検出数が多かったのはSQL Injection – Exploitで、10.25%を占めていました。サイト内の検索機能を提供するページに対する攻撃を確認しており、前月までと同様にWAITFOR文を利用したブラインドSQLインジェクションやUNION攻撃が用いられる傾向にあります。
3番目に検出数が多かったのはRealtek Jungle SDK Command Injection Vulnerability (CVE-2021-35394)で、10.06%を占めていました。前月に続きMiraiファミリであるマルウェアをダウンロード、実行する攻撃を多数観測しています。この攻撃によってダウンロードされるマルウェアはMIPSアーキテクチャ向けの実行ファイルであり、ファイル名には「<英単語>.mipsel」もしくは「<英単語>.mpsl」といった文字列が使われています。その他「reboot;」という文字列を複数並べた攻撃を観測しており、応答の差異を利用した脆弱性の調査、サービスの妨害などが目的と考えられます。
Web/メールのマルウェア脅威の観測情報
Webアクセス時におけるマルウェア検出
今回の対象期間において、Webアクセス時に検出したマルウェア種別の割合を図-4に示します。
対象期間内に最も多く検出したシグネチャはHEUR:Trojan.Script.Genericで95.30%を占めていました。当月も「if(ndsw === undefined)」から始まるコードが挿入されたJavaScript形式のファイルを観測しており、前月と同様にWordPressで利用されるファイルに対する改ざんであることを確認しています。挿入されたコードは、WebブラウザのUser-Agent、Cookie、アクセス先ホスト名などの情報を同じサイトの異なるパスもしくは別のサイト送信する内容であることを確認しています。
メール受信時におけるマルウェア検出
対象期間における、メール受信時に検出したマルウェアの割合を図-5に示します。
前月に続き、当月最も多く検出したのはHEUR:Hoax.Script.Scaremailで、前月比35.81ポイント減の22.85%を占めていました。割合が大きく減少した理由としては、当該シグネチャで検出されたメールの件数が前月から大きく減少したことが挙げられます。当該シグネチャでは「Don’t miss your unsettled payment. Complete your debt payment now.」といった金銭を要求する件名のメールや、「Your account is hacked. Your data is stolen. Learn how to regain access.」といった脅迫をほのめかす件名のメールを多く観測しています。
次点で多かったのはHEUR:Trojan.Script.Genericで前月比3.73ポイント増の17.36%でした。当該シグネチャでは、アカウント情報の窃取を目的としたHTMLファイル及び情報窃取型マルウェアであるAgentTeslaへの感染を狙った添付ファイルを多く観測しています。後者の添付ファイルはRAR形式であり、その中にAgentTeslaに感染させるVBScript形式のファイルが含まれていました。
以下に、対象期間においてSOCで検出した、件名が日本語で脅威を含むメールに関する情報を示します。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。
| 件名 | 添付ファイル名 | 感染するマルウェア |
|---|---|---|
| あなたの本当の写真<ランダムな日本語文字列> | love.zip | PurpleFox |
トップ10には含まれていませんが、HEUR:Trojan.Multi.URLBypassというシグネチャで当月はPurpleFoxへの感染を狙った日本語メールを観測しています。当該マルウェアは別のマルウェアを感染端末で動作させるダウンローダ機能を持っており、最終的にクリプトマイナーや情報窃取型マルウェアなどに感染する恐れがあります。
セキュリティインシデントカレンダー
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | セキュリティ技術 | 観測情報 | その他 |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 6月1日(木) | セキュリティ事件 | ホテル経営会社は、同社が利用している宿泊予約情報管理システムの利用者アカウントが窃取された可能性があることを公表した。同システムを利用した一部の利用客に対し、システム内のチャット機能を使用してフィッシングサイトへ誘導するURLリンクが付されたメッセージが配信されたとのこと。その後、同システムを利用する複数の企業から同様の公表が相次いだ。 |
| 6月1日(木) | 脅威情報 | Kaspersky社は、「Operation Triangulation」と命名した、iOS端末を標的としたマルウェアを発見したことを公表した。iMessageを介したエクスプロイトを含む添付ファイル付きのメッセージによるゼロクリック攻撃より、コードが実行されてしまうとのこと。 |
| 6月5日(月) | セキュリティ事件 | 中古車販売会社は、同社の業務サーバがランサムウェアの攻撃により、ファイルが暗号化されて使用できない状況となったことを公表した。不正アクセスにより約2,400,000人の個人情報が第三者に閲覧された可能性があるとのこと。 |
| 6月6日(火) | セキュリティ事件 | システム開発会社は、同社サービスを提供しているデータセンタのサーバが不正アクセスを受け、同サーバがランサムウェアに感染したことを公表した。 |
| 6月6日(火) | その他 | 経済産業省は、IoT機器などのセキュリティ対策を行おうとする企業が第一歩として取り組む対策を提示した「IoT機器を開発する中小企業向け製品セキュリティ対策ガイド」を公開した 1。 |
| 6月7日(水) | セキュリティ事件 | 地方自治体は、学童クラブ及び放課後等居場所事業の委託事業者が運用する一部サーバのデータがランサムウェアの感染により暗号化されたことを公表した。なお、当該事象が発覚後、同日に状況の確認および対処を開始ししており、翌日には利用者へメールにて事象に連絡をおこなっているとのこと。 |
| 6月8日(木) | セキュリティ事件 | ガス器具製造会社は、エネルギー事業者向けクラウドサービスにおいてユーザになりすました攻撃者からの不正アクセスにより同社サービスを停止したことを公表した。後日の調査で、同社システム運用管理者が対策を開始したところ、攻撃者が動きを変え、クラウド環境側のサーバ(OSやプログラム、ツール等)の破壊や停止を実行されたことですべてのクラウドサービスの停止を余儀なくされてしまったとのこと。 |
| 6月12日(月) | 脆弱性情報 | Fortinet社は、FortiOSおよびFortiProxy SSL-VPNにおけるヒープベースのバッファオーバーフローの脆弱性(CVE-2023-27997)により、リモートの攻撃者が細工したリクエストを介して任意のコードまたはコマンドを実行できることを公表した。後日、当該のリモートコード実行の成功が報告されている。 |
| 6月13日(火) | 脆弱性情報 | Patchstack社は、WordPress用ECサイト向け決済プラグインであるWooCommerce Stripe Gatewayにアクセス制御の脆弱性(CVE-2023-34000)が存在することを公表した。脆弱性を悪用することにより、攻撃者は当該プラグインを使用する決済を行った利用者のメールアドレス、ユーザ名、住所など、注文の際に使用する個人情報を閲覧できるとのこと。なお、影響の受けるバージョンは7.4.0以前であり、本脆弱性の修正バージョン7.4.1が公開されている。 |
| 6月14日(水) | セキュリティ事件 | クラウドサービス提供会社は、同社社内システムおよびクラウドサービスが第三者による不正アクセスを受け、アクセスできない状況が発生したことを公表した。後日の調査で、メンテナンス用VPN機器に脆弱性があり、内部へ侵入された後にユーザが利用する仮想環境がランサムウェアに暗号化されたことによりアクセスできない状況が発生したとのこと。また、同社の社内ソースコード管理システムから窃取された同社製品及びサービスのソースコードが、ダークWeb上で公開されていることも明らかになった。 |
| 6月14日(水) | 脅威情報 | Check Point Software Technologiesは、Pythonのソフトウェアリポジトリである「PyPI」に、44個のパッケージに共通して外部から実行可能ファイルをダウンロードし、実行するコードが含まれていたことを公表した。 |
| 6月15日(木) | 脆弱性情報 | Progress社は、同社が提供しているファイル転送ソフト「MOVEit Transfer」および「MOVEit Cloud」に、SQLインジェクションの脆弱性(CVE-2023-34362、CVE-2023-35036、CVE-2023-35708)が存在することを段階的に公表した。当該脆弱性が悪用されることにより特権昇格や不正アクセスに繋がる恐れがあるとのこと。同社は既に公開している修正パッチを初めとした対策の適用を呼び掛けている。なお、米国国土安全保障省傘下のサイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)からCVE-2023-34362が悪用されていたことが報告されている。 |
| 6月16日(金) | 脅威情報 | MailGuardは、電子メールにURLリンクではなくQRコードを意図的に埋め込むことでスパムフィルターを迂回するフィッシングメールの存在を公表した。メールは侵害されたMicrosoft 365アカウントから送信され、受信したメールのQRコードをスキャンすると偽のMicrosoft 365のサインインページに誘導されるとのこと。 |
| 6月20日(火) | 脅威情報 | Microsoft社は、Microsoft Azure アプリケーションでの特権昇格の潜在的なリスクついて注意喚起をした。攻撃者は、同アプリケーションに発行されたトークン内の電子メールの要求を改ざんする可能性があるとのこと。Microsoft社は、電子メール要求を承認目的には決して使用しないことを勧めている。 |
| 6月30日(金) | セキュリティ事件 | 衛星放送事業者は、同社の動画配信サービスのユーザ認証に不備があり、ログイン後、他のユーザの個人情報閲覧、クレジットカードの変更登録、その他手続きが行うことが出来る状態であったことを公表した。なお、個人情報80,879人分が漏えいした可能性があるとのこと。 |
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
- 1 経済産業省, ‘中小企業のサイバーセキュリティ対策‘, 2023/06/06更新 ↩︎
最新情報をフォローする
