2023年7月観測レポートサマリ
本レポートでは、2023年7月中に発生した観測情報と事案についてまとめています。
当月はDDoS攻撃の総攻撃検出件数及び1日あたりの平均件数は先月から減少しました。最大規模を観測した攻撃は主にDNSやNTPなど複数のプロトコルを用いたUDP Amplificationでした。また、この攻撃は最長時間を観測した攻撃でもあり、1時間17分にわたるものでした。
IPS/IDSにおいて検出したインターネットからの攻撃について、当月はMiraiファミリへの感染を狙うwgetコマンドを利用したコマンドインジェクションでした。次点ではSQLインジェクションを多く確認しています。
Webサイト閲覧時における検出では、前月と同様に難読化されたJavaScriptが多く観測されています。不審なメールの分析では、金銭の要求を目的としたメールを多く観測しています。また、RedLine StealerやLokibotの感染を狙うファイルを添付する日本語のメールを観測しています。
DDoS攻撃の観測情報
本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。
攻撃の検出件数
以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は243件であり、1日あたりの平均件数は7.84件でした。期間中に観測された最も規模の大きな攻撃では、最大で約66万ppsのパケットによって2.76Gbpsの通信が発生しました。この攻撃は主にDNSやNTPなど複数のプロトコルを用いたUDP Amplificationでした。当月最も長く継続した攻撃もこの通信であり、およそ1時間17分にわたって攻撃が継続しました。
IIJマネージドセキュリティサービスの観測情報
以下に、今回の対象期間に検出した1サイト当たりの攻撃検出件数(図-2)と攻撃種別トップ10の割合(図-3)を示します。
対象期間内に最も多く検出したのはWget Command Injection Vulnerabilityで、12.61%を占めていました。当該シグネチャでは、2023年3月の観測レポートでも紹介した、MVPower社製DVR(TV-7104HE)及びNETGEAR社製ルータ(DGN1000)に存在するリモートコード実行の脆弱性、または組み込み向けLinuxディストリビューションのZeroShellに存在するリモートコード実行の脆弱性(CVE-2019-12725)を悪用する通信を観測しました。通信の内容はいずれもMiraiファミリへの感染を狙ったものでした。
2番目に検出数が多かったSQL Injection – Exploitは、12.53%を占めていました。当該シグネチャでは、検索サイトのクローラを装ったブラインドSQLインジェクションのほか、WAITFOR文やUNION句を用いたSQLインジェクションも確認しています。
また、トップ10には含まれていませんが、検出件数が突出している7月20日は脆弱性スキャンと見られる通信を多数観測しております。
Web/メールのマルウェア脅威の観測情報
Webアクセス時におけるマルウェア検出
今回の対象期間において、Webアクセス時に検出したマルウェア種別の割合を図-4に示します。
前月に続き最も多く検出したシグネチャはHEUR:Trojan.Script.Genericで92.07%を占めていました。当月もJavaScript形式のファイルにて「if(ndsj === undefined)」や「if(ndsw === undefined)」から始まるコードが挿入された改ざんを多数観測しています。改ざんされたサイトの半数以上は当月初めて検出したものであり、依然としてWordPressで利用されるwp-contentディレクトリ内のファイルに対する改ざんが目立っているため、WordPressを使用している場合は注意が必要です。当該JavaScriptファイルにはCookieのパスを「/」に変更し、有効期限を1年後の日時に変更する処理や、WebブラウザのUser-Agent、Cookie、アクセス先ホスト名などの情報を同じサイトの異なるパスに送信する処理が含まれていました。また、2番目に多く検出されたシグネチャであるTrojan.JS.Agentにおいても、同様の処理が含まれたJavaScriptファイルを検出しています。
メール受信時におけるマルウェア検出
対象期間における、メール受信時に検出したマルウェアの割合を図-5に示します。
前月に続き、当月最も多く検出したのはHEUR:Hoax.Script.Scaremailで、前月比6.88ポイント増の29.73%を占めていました。当該シグネチャによる検知では「You have an outstanding payment.」や「You have outstanding debt.」といった金銭を要求する件名のメールが大半を占めており、前月から割合が増加した要因となっています。
次点で多かったのはHEUR:Trojan.Script.Genericで前月比5.40ポイント減の11.96%でした。当該シグネチャは前月と同じ順位ですが、前月とは異なる添付ファイルを検出しています。特に、トロイの木馬であるzgRATへの感染を狙った添付ファイルが多く観測されています。この添付ファイルはARJ形式であり、その中にzgRAT本体をダウンロードするVBScript形式のファイルが含まれていました。
以下に、対象期間においてSOCで検出した、件名が日本語で脅威を含むメールに関する情報を示します。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。
| 件名 | 添付ファイル名 | 感染するマルウェア |
|---|---|---|
| 注文番号 <数字> | 注文番号 <数字>.IMG | RedLine Stealer |
| オファーリクエスト:<大学名>//<英数字> | オファーリクエスト (<大学名> <英数字>)·pdf.zip | Lokibot |
当月はRedLine StealerやLokibotへの感染を狙った日本語のメールを観測しています。Lokibotへの感染を狙った添付ファイルは、PDFファイルを装ったZIP形式のファイルとなっています。ZIPファイル内にはダウンローダであるGuLoaderが埋め込まれた実行ファイルが含まれており、GuLoaderを実行すると外部サーバから情報窃取型マルウェアであるLokibotのダウンロード及び実行を試みます。
セキュリティインシデントカレンダー
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | セキュリティ技術 | 観測情報 | その他 |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 7月5日(水) | 脆弱性情報 | 海外の技術者は、Linux Kernelのメモリ管理サブシステムに”StackRot”と呼ばれる解放メモリ参照の脆弱性(CVE-2023-3269)が存在することを公表した。権限の無いローカルユーザが権限を昇格させることが可能となるもので、同月28日にPoC(Proof of Concept)が公開されている。 |
| 7月5日(水) | セキュリティ事件 | 港湾輸送団体は、コンテナターミナルシステムがランサムウェアに感染し、当該港の全ターミナルの運用が停止したことを公表した。復旧中にはバックアップデータからのウイルス検知やネットワーク障害が発生したが、システム停止から約2日半後に通常の業務体制に復帰したとのこと。 |
| 7月10日(月) | セキュリティ事件 | 産業用部品販売会社は、運営するECサイトのペイメントアプリケーションが第三者による不正アクセスを受け、クレジットカード情報を含む顧客情報5,877件とクレジットカード情報を含まない顧客情報20,517件が漏えいした可能性があることを公表した。 |
| 7月11日(火) | 脆弱性情報 | Microsoft社は、Microsoft OfficeとWindows HTMLにリモートコード実行のゼロデイ脆弱性(CVE-2023-36884)が存在することを公表した。また、本脆弱性は”Storm-0978″と呼ばれるロシアを拠点とする攻撃グループが既に悪用しており、欧州や北米の防衛及び政府機関に対する攻撃を6月に検出していたことを公表した。なお、翌月公開された更新プログラムで修正されている。 |
| 7月11日(火) | セキュリティ事件 | Microsoft社は、中国を拠点とする攻撃グループ”Storm-0558″によるExchange Online及びOutlook.comへの不正アクセスが行われていたことを公表した。攻撃者はMicrosoftアカウントのトークン処理に存在する複数の問題を悪用し、標的アカウントのメールや添付ファイルを取得していた。なお、影響を受けた機関がPurview Audit(Premium)のログ機能を使った調査で攻撃を確認したため、Microsoft社はPurview Audit(Standard)の利用者に対しPurview Audit(Premium)でのみ利用可能なログデータを追加費用なしで提供すること、及び今後全顧客を対象に追加費用なしでログ保持期間を延長する予定であることを公表している。 |
| 7月17日(月) | 脅威情報 | Defiant社は、WordPressの決済プラグインであるWooCommerce Paymentsに存在する認証バイパスの脆弱性(CVE-2023-28121)を利用した大規模な攻撃キャンペーンが展開されていることを公表した。攻撃は7月14日から行われ、16日には約157,000のWebサイトに攻撃が行われたことが確認されているとのこと。なお、2022年3月に対策バージョンであるWooCommerce Payments 5.6.2が公開されている。 |
| 7月17日(月) | セキュリティ事件 | 海外のニュースサイトは、IT企業の運営するマルウェアスキャンプラットフォームサイトにおいて、当該IT企業の従業員が誤って約5,600人の個人名およびメールアドレスリストをアップロードし、第三者がアクセスできる状態になっていたことを報じた。 |
| 7月20日(木) | 脆弱性情報 | ノースグリッド社は、同社の提供するオンラインストレージアプリケーションの”Proself”に管理者権限での認証バイパス及びリモートコード実行のゼロデイ脆弱性が発見され、本脆弱性を悪用した攻撃が行われていることを公表した。後日、本脆弱性を修正したバージョンが公開されている。 |
| 7月24日(月) | セキュリティ事件 | ネットワーク構築・運用会社は、同社が自治体から受託したID及びパスワードの一元管理システムから個人情報が漏えいしたことを公表した。業務委託先が保守目的で自社へ持ち出したプログラムに個人情報が混入しており、開発担当者の手違いによりそれを他顧客のシステムに適用したことが原因とのこと。 |
| 7月24日(月) | 脆弱性情報 | Ivanti社は、モバイルデバイス管理製品”Ivanti Endpoint Manager Mobile”に認証バイパスの脆弱性(CVE-2023-35078)が発見され、既に悪用されていることを公表した。また、7月28日にはパストラバーサルの脆弱性(CVE-2023-35081)を公表しており、2つの脆弱性は組み合わせて悪用されているとのこと。これらの脆弱性に対する修正パッチがリリースされている。 |
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
最新情報をフォローする
