2023年11月観測レポートサマリ
本レポートでは、2023年11月中に発生した観測情報と事案についてまとめています。
当月はDDoS攻撃の総攻撃検出件数及び1日あたりの平均件数に大きな変化はありませんでした。最大規模を観測した攻撃はUDP Flood、TCP ACK Flood、GRE Floodなど複数のプロトコルを組み合わせた攻撃でした。また、この攻撃は最長時間を観測した攻撃でもあり、22分にわたるものでした。
IPS/IDSにおいて検出したインターネットからの攻撃について、当月はSQLインジェクションが最も多く観測されています。また、先月公表されたConfluence Data Center及びServerにおけるアクセス制御破損の脆弱性(CVE-2023-22515)を悪用した通信を確認しています。
Webサイト閲覧時における検出では、前月と同様に難読化されたJavaScriptが多く観測されています。不審なメールの分析では、脅迫を目的としたメールが増加傾向にあることを確認しています。また、GuLoaderへの感染を狙うファイルを添付した日本語のメールを観測しています。
DDoS攻撃の観測情報
本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。
攻撃の検出件数
以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。
今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は255件であり、1日あたりの平均件数は8.50件でした。期間中に観測された最も規模の大きな攻撃では、最大で約1,724万ppsのパケットによって194.74Gbpsの通信が発生しました。この通信はUDP Flood、TCP ACK Flood、GRE Floodなど複数のプロトコルを組み合わせた攻撃でした。当月最も長く継続した攻撃もこの通信であり、およそ22分にわたって攻撃が継続しました。
IIJマネージドセキュリティサービスの観測情報
今回の対象期間に検出した1サイト当たりの攻撃検出件数(図-2)と攻撃種別トップ10の割合(図-3)を示します。
対象期間内に最も多く検出されたのは、SQL Injection – Exploitで、全体の13.67%を占めていました。当該シグネチャでは、検索サイトのクローラを装ったUser-Agentを多く観測しています。当月の傾向としては11月28日に検出数が多く、BashやUnixのコード実行の脆弱性を狙った通信を観測しています。
当月の攻撃種別トップ10には含まれていませんが、新しい脆弱性を利用した攻撃として、 Confluence Data CenterおよびServerにおけるアクセス制御破損の脆弱性(CVE-2023-22515)を悪用した通信を観測しています。ConfluenceとはAtlassian社が開発・販売を行う、企業向けWiki製品です。本脆弱性を悪用することで、不正なConfluence管理者を作成し、Confluenceインスタンスにアクセスすることが可能となります。Confluence Data Center及びServerのバージョン8.0.0以降が本脆弱性の影響を受けます。図-4、図-5は、本脆弱性を悪用した通信の一部です。これらは不正に管理者アカウントの作成を試みる通信です。
脆弱性の影響を受ける製品をご利用の場合は、下記の5点に基づき、侵害の形跡がないか確認することをお勧めします。
- confluence-administratorsグループに不審なメンバが存在する
- 未知の新しいアカウントが不正に作成されている
- 未知のプラグインがインストールされている
- ネットワークアクセスログに/setup/*.actionへのリクエストが確認できる
- Confluenceのホームディレクトリにあるatlassian-confluence-security.logの例外メッセージに/setup/setupadministrator.actionが存在する
当該の脆弱性が修正されたバージョンは下記の通りです。
- 8.3.4
- 8.4.4
- 8.5.3
- 8.6.1
Confluence Data Center及びConfluence Serverをご利用中の場合は、修正済みの最新バージョンへアップデートすることをお勧めします。
Web/メールのマルウェア脅威の観測情報
Webアクセス時におけるマルウェア検出
今回の対象期間において、Webアクセス時に検出したマルウェア種別の割合を図-6に示します。
対象期間内に最も多く検出したのはTrojan.JS.Agentで、全体に占める割合は前月から15.09ポイント増加し57.21%でした。次点ではHEUR:Trojan.Script.Genericを多く検出しており、前月から7.63ポイント減少し37.21%を占めていました。これらのシグネチャでは前月と同様にJavaScript形式のファイルにて、「if(typeof ndsw === “undefined”)」から始まるコードが挿入された改ざんを多く観測しています。当月観測したJavaScriptコードの例を図-7に示します。
図-7は難読化を解除したコードの一部です。マスクされた部分は改ざんされたサイトのホスト名であり、同サイト内の別のJavaScriptファイルを読み込む処理であることを確認しています。なお、調査時点では参照先のJavaScriptファイルは中身が空であったため、詳しい内容を確認できませんでした。
3番目に多く検出したのはHEUR:Trojan-Clicker.Script.Genericで、全体に占める割合は1.47%でした。当該シグネチャでは、2023年8月の観測レポートでも紹介した、アドフラウドを行うJavaScriptコードを検出しています。
メール受信時におけるマルウェア検出
対象期間における、メール受信時に検出した脅威種別の割合を図-8に示します。
当月最も多く検出したのは前月に引き続き、HEUR:Hoax.Script.Scaremailとなっており、93.06%を占めていました。当月は「YOUR DEVICE AND EMAIL HAS BEEN COMPROMISED CHECK THIS MESSAGE NOW!」という件名の脅迫メールを多く検出しており、前月大半を占めていた「I RECORDED YOU!」についても前述の脅迫メールと同程度に検出しています。当月は前述の2件のメールが大半を占めており、どちらもメール受信者に対して脅迫する内容となっています。また、当該シグネチャは2023年6月から徐々に検知数が増加しています。特に「I RECORDED YOU!」のメールは、2023年6月と2023年11月で比較した際、当該メールの検知件数は696倍程度に増加しています。そのため、当該シグネチャが検知する割合が増加する結果となりました。
次点で多かったのは、HEUR:Trojan.Script.Genericで4.85%を占めていました。当該シグネチャで検出したメールには、不審なサイトへ誘導するためのhtmファイルが添付されており、アクセス先にて情報入力を行うと、第三者に情報を窃取される可能性があります。
以下に、対象期間においてSOCで検出した、件名が日本語で脅威を含むメールに関する情報を示します。なお、以下は情報の一部であり、すべての脅威メールを網羅しているものではない点にご注意ください。
| 件名 | 添付ファイル名 | 感染するマルウェア |
|---|---|---|
| RFQ-<数字>/<数字>_PTT プロジェクト | image<数字>.pdf 添付資料-<数字>_RFQ<数字>.pdf.vbs |
GuLoader |
当月はGuLoaderへの感染を狙った日本語のばらまき型攻撃メールを観測しています。GuLoaderはセキュリティソフトによるマルウェア検知の回避能力が高いローダです。そのため、GuLoaderが展開された後、情報窃取型のマルウェアがダウンロードされるといった可能性があります。
セキュリティインシデントカレンダー
| カテゴリ凡例 | |||||
|---|---|---|---|---|---|
| セキュリティ事件 | 脅威情報 | 脆弱性情報 | セキュリティ技術 | 観測情報 | その他 |
| 日付 | カテゴリ | 概要 |
|---|---|---|
| 11月01日(水) | その他 | FIRST(Forum of Incident Response and Security Teams)は、共通脆弱性評価システム”CVSS”の最新版v4.0を公表した。基本スコアだけではないというコンセプトを強化し、脅威スコア・環境スコアといった指標との組み合わせを識別する新しい命名法を追加した点や、攻撃の実行条件、攻撃成立にユーザを関与させる必要の有無、関連するシステムへの影響などを考慮する内容に更新されている。 |
| 11月03日(金) | セキュリティ事件 | 統合認証サービスを提供する会社は、10月23日に公表したサポートケース管理システムへの不正アクセスについて続報を公表した。社員が利用する端末のChromeブラウザへ個人のGoogleプロファイルでサインインしたことで、Chromeブラウザに保存されていたサービスアカウントのユーザ名やパスワードが個人のGoogleアカウントに同期されている状態で、該当社員の個人端末の侵害により窃取されたとのこと。 |
| 11月04日(土) | その他 | ゲーマー向けチャットサービス”Discord”が、自社CDNによるファイル共有リンクを24時間で期限切れとする仕様変更を2023年末までに実施するとメディアが伝えた。マルウェアの配布・拡散の防止が目的とのこと。 |
| 11月09日(木) | セキュリティ事件 | スーパーマーケットの運営会社は、ネットスーパーの入会案内に掲載したQRコードにアクセスした際に、意図しないサイトに誘導されクレジットカード情報が抜き取られる被害が発生したことを公表した。QRコードにアクセスすると本来のアクセス先へのリンクと同時に広告が表示され、それが利用者の誤認を狙ったボタンのデザインとなっており、無関係なサイトの個人情報入力画面に誘導されるようになっていた。同様の被害はカー用品店などでも発生している。 |
| 11月14日(火) | 脅威情報 | フィッシング対策協議会は、URLに8、10、16進数などのIPアドレス表記を用いたフィッシングの報告を受けていることを公表した。ホスト名に0で始まる8進数表記、0xで始まる16進数表記、2つのオクテットを連結し16ビットの数値と解釈し10進数表記したものが含まれるなど、通常とは異なるIPアドレス表記が使用されている特徴がある。 |
| 11月15日(水) | セキュリティ事件 | 京都府警などは、音楽グループの公式オンラインショップにWebスキミングを行う不正プログラムを仕組み、商品を購入しようとした3人のクレジットカード情報を窃取した疑いがある人物を、不正指令電磁的記録供用や割賦販売法違反の容疑で逮捕したことを公表した。Webスキミングの実行犯の摘発は全国で初めて。 |
| 11月16日(木) | セキュリティ事件 | 自動車メーカグループの販売店向けの金融サービスを扱う会社が、ランサムウェア”Medusa”の攻撃を受け、ヨーロッパとアフリカの一部システムにおいて不正アクセスが検出されたとメディアが報じた。同金融サービス会社は、翌月にサイバー攻撃であったか、またデータ窃取の有無も含めて調査中であると公表している。 |
| 11月16日(木) | 脆弱性情報 | JPCERTコーディネーションセンター(JPCERT/CC)は、「日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起」を公表した 1。以前に公表していたArray AGシリーズ、Proself、FortiOS、FortiProxyの脆弱性を狙う攻撃について、該当製品を利用している組織は脆弱性修正の適用有無に関わらず不正を行う特定IPアドレスとの通信がないか調査をするよう促している。 |
| 11月22日(水) | セキュリティ事件 | ケーブルテレビ事業会社は、同社が提供するメッシュWi-Fiアプリの利用顧客及びケーブルテレビ事業者のメッシュWi-Fiを利用した顧客の個人情報が漏洩したことを公表した。メッシュWi-Fiを提供する海外企業が運用する提携先モバイルアプリのアクセスログサーバが外部から不正アクセスを受けたことにより漏洩したとのこと。 |
| 11月22日(水) | 脆弱性情報 | ownCloudコミュニティは、ownCloudに存在するコンテナ環境における機密情報および設定の漏洩の脆弱性(CVE-2023-49103)、サブドメイン認証バイパスの脆弱性(CVE-2023-49104)、署名済みURLを使用したWebDAV API認証バイパスの脆弱性(CVE-2023-49105)に関する情報を公表した 2 3 4。 |
| 11月24日(金) | セキュリティ事件 | 自治体は、令和2年から令和4年にかけて、旅券課分室で旅券発行手続きをした人などの延べ1,920人分の個人情報を付箋に書いて持ち出した元職員を、窃盗の疑いで書類送検したことを公表した。 |
| 11月27日(月) | セキュリティ事件 | インターネットサービス会社は、同社の提供するSNSサービスの個人情報、通信の秘密に該当する情報、従業員情報などが漏洩したことを公表した。海外の関係会社の委託先従業員が所持するPCがマルウェアに感染し関係会社のシステムに侵入され、関係会社とインターネットサービス会社の従業者情報を扱う共通の認証基盤で管理されている同SNSサービスの運用システムへ不正アクセスが行われたとのこと。 |
| 11月29日(水) | セキュリティ事件 | 住宅メーカは、システム開発の委託先によるセキュリティ設定不備により、システム開発用のクラウドサーバから個人情報などが漏えいした可能性があることを公表した。対象の個人情報は2001年から2023年に取得したもので、建築地情報などが含まれているとのこと。 |
| 11月29日(水) | セキュリティ事件 | 研究機関が今年の夏頃、Active Directoryドメインコントローラが不正アクセスを受け機微な情報を閲覧された恐れがあることをメディアが報じた。不正アクセスは秋頃に警察当局が関知し通報していたとのこと。 |
おわりに
この観測レポートは、いまインターネットで起こっている攻撃などの状況をまとめて提示することで、読者の皆様がより良い対策を実施できることを目的としてまとめて公開しています。一部の攻撃について、特にお客様を特定できてしまうような情報については除外してまとめていますが、本レポートに記載の内容は多くのお客様における傾向から作成しています。対策の推進にご活用いただければ幸いです。
- JPCERTコーディネーションセンター「日本の組織を標的にした外部からアクセス可能なIT資産を狙う複数の標的型サイバー攻撃活動に関する注意喚起」(2023/11/16更新)↩︎
- owncloud「Disclosure of sensitive credentials and configuration in containerized deployments」(2023/11/21更新)↩︎
- owncloud「Subdomain Validation Bypass」(2023/11/21更新)↩︎
- owncloud「WebDAV Api Authentication Bypass using Pre-Signed URLs」(2023/11/21更新)↩︎
最新情報をフォローする
