先日 Akamai SIRT からも報告のあった123複数のゼロデイ脆弱性を悪用して感染を行う Mirai 亜種 InfectedSlurs の活動状況について、IIJ の観測結果を共有します。 アクターについて 今回のアクターによる攻撃活動を IIJ では昨年から継続して観測しています。今年 1月に発生した国内の河川監視カメラへの不正アクセス4も、同アクターによるボットの感染活動と見られます。10月末に悪用が確認されたゼロデイ脆弱性5もそうですが、主に日本国内でのみ利用されている機器も感染対象としているのが、このアクターの特徴の一つと言えます。 感染状況 11月から活動している検体は、感染時に機器のホスト名を “TBOT” または “PBOC” に変更するという挙動を行います。そのため比較的感染が見つけやすく、Shodan や Censys 等でこれらのホスト名を検索すると、少なくとも数
本記事では IIJ のマルウェア活動観測プロジェクト MITF のハニーポットにおいて、2019年に観測した IoT ボットの状況についてご紹介します。 主要なボットの活動状況 IIJ のハニーポットで観測される IoT ボットの活動として、Mirai, Hajime, qBot の 3種類が支配的である状況は昨年から変わっていません。Mirai と qBot はそれぞれ2016年と2015年にソースコードが公開されており、それ以降は元のコードを改変した多様な亜種が次々と出現する状況が継続しています。これらのボットの種類別に2019年の活動状況を以下に示します。なお2018年の観測状況についてはこちらの記事を参照してください。 (1) Mirai 図1 Mirai と推定される通信パケット数の推移 上のグラフは IIJ のハニーポットに到着したパケットのうち、Mirai の特徴に合致するも
2019年10月下旬に大規模な TCP SYN/ACK リフレクション攻撃を複数観測しました。本記事では IIJ のマルウェア活動観測プロジェクト MITF のハニーポットの観測結果から、今回の DDoS 攻撃の発生状況について紹介します。 TCP SYN/ACK リフレクション攻撃 リフレクション攻撃 (リフレクター攻撃、アンプ攻撃とも呼ぶ) は、送信元アドレスを偽装した IP パケットを踏み台となる多数の機器 (リフレクター) に大量に送信することにより、その応答パケットを利用して攻撃する DDoS 攻撃手法の一つです。この場合、偽装された送信元アドレスがターゲットとなる被害者ということになります。真の発信元である攻撃者のアドレスを隠蔽するとともに、リフレクターからの応答パケットのサイズが大きくなる増幅効果を狙う攻撃です。UDP と比較すると増幅効果のあまり大きくない TCP によるリ
今月9/7から9/9にかけて、Wikipedia, Twitch, Blizzard の各サーバに対して連続して DDoS 攻撃が発生しました。この一連の攻撃は Mirai 亜種によるボットネットによって引き起こされたことが IIJ の調査によりわかりました。本記事では IIJ のマルウェア活動観測プロジェクト MITF のハニーポットの観測結果から、この攻撃で利用されたボットネットの特徴と DDoS 攻撃の発生状況について紹介します。 DDoS 攻撃の概要 一連の攻撃は日本時間の 9/7 2:40 頃から始まり、最初に被害を受けたのは Wikipedia でした[1]Wikipedia への攻撃の状況については、ThousandEyes 社の解説記事が詳しい。Analyzing the Wikipedia DDoS Attack https://blog.thousandeyes.com
IIJ のマルウェア活動観測プロジェクト MITF のハニーポットでは、送信元アドレスを偽装した 80/tcp に対する SYN/ACK リフレクション攻撃を2018年8月から継続して観測しています。2019年1月下旬からはさらに別のポートを対象とした同様の攻撃活動を観測しました。本記事でその内容について紹介します。 SYN/ACK リフレクション攻撃 80/tcp を利用した SYN/ACK リフレクション攻撃については、「wizSafe Security Signal 2018年9月 観測レポート」において詳しく報告しています。送信元アドレスを偽装した TCP の SYN パケットを多数のアドレスに同時に送信し、その応答である SYN/ACK パケットを利用して送信元アドレスに対して DDoS 攻撃を行うものです。IIJ の観測では2018年9月26日に大規模な SYN/ACK リフレ
3月25日から世界中で 8291/tcp ポートへのスキャン急増が観測されています。これは Hajime ボットによる新たな感染活動が原因です。本記事では IIJ のマルウェア活動観測プロジェクト MITF のハニーポットにおける観測状況について報告します。 (2018/4/3 追記) 3月31日から 8291/tcp だけでなく、2000/tcp への Hajime によるスキャン活動も観測しています。このポートも 8291/tcp と同じく MikroTik RouteOS が利用しているポートの一つです。スキャン後の挙動は下記に述べた 8291/tcp ポートの場合と同じです。 攻撃に利用している脆弱性 攻撃方法の詳細については複数のベンダーが報告していますので、そちらも参照してください。 Quick summary about the Port 8291 scan (360 Net
前回の記事では、IIJ のマルウェア活動観測プロジェクト MITF のハニーポットに到達する通信の特徴から、Mirai および Hajime ファミリーの活動について紹介しました。本記事ではこれまでに知られている通信パターンに合致しない Mirai 亜種の最近の活動状況について解説します。 前回の記事でも触れたように、Mirai は感染活動を行う前にまずインターネット上に存在する IoT 機器のスキャンを行いますが、この時のスキャンのパケットにおける TCP の初期シーケンス番号と宛先 IP アドレスは同じになります[1]Mirai については IIR Vol.33 のフォーカスリサーチ「1.4.1 Mirai Botnet の検知と対策」を参照。https://www.iij.ad.jp/company/development/report/iir/033/01_04.html。Mira
暗号アルゴリズムのうちデジタル署名などの用途で利用されているハッシュ関数のひとつ、SHA-1 のコリジョン(衝突)が報告されました。 今回見つけられた攻撃手法は SHAtterd attack と名付けられました[1]SHAttered attack https://shattered.it/ https://shattered.io/[2]Google Security Blog, Announcing the first SHA1 collision https://security.googleblog.com/2017/02/announcing-first-sha1-collision.html。(暗号学的)ハッシュ関数は、異なるデータを異なる固定長データに圧縮することが保証されています。SHA-1 は160ビットの出力長を持つことから、2^80程度という膨大な SHA-1 計算
2016年9月頃より、日本国内の Web サイトを経由した Rig Exploit Kit による攻撃が急増しています。 IIJ Web クローラにおける Rig Exploit Kit の観測数推移 IIJ の観測範囲では、Rig Exploit Kit は主に Internet Explorer および Adobe Flash の脆弱性を悪用し、攻撃が成功した場合は Locky または Ursnif などのマルウェアがダウンロードされることを確認しています。 誘導元として観測された Web サイトは多数で、規模やコンテンツなどに共通点は確認できませんが、WordPress で運用されている Web サイトが複数見受けられます。また、誘導元の Web サイトには、2016年9月上旬から終息傾向にある Neutrino Exploit Kit や、2016年6月に終息した Angler E
ブラウザ上で Windows のブルースクリーンを模した画面を表示し、あたかもマルウェアに起因する障害を生じているかのように見せかける詐欺サイトが国内外で確認されています。類似の詐欺は古くから存在しますが、最近確認されているものは、被害者の ISP 情報を表示するウィンドウをポップアップしたり、バナーで Microsoft ソフトウェアの専門家を名乗るなどして危機感を煽ります。このケースでは直ちに技術サポートと称する番号に電話をかけるよう促されます。メッセージが表示される段階では、あくまで HTML コンテンツとしてブルースクリーンを模しているだけであり、マルウェア感染などの障害は生じていません。ポップアップが邪魔でブラウザが閉じられない場合は、タスクマネージャーからブラウザを選択して終了する、あるいは ALT+F4 ショートカットを使うなどしてポップアップを回避することが可能です。 なお
Web ブラウザの拡張機能(プラグインなど)には、その拡張機能が組み込まれたブラウザでアクセスした先の URL を、インターネット側の第三者に送信する機能を持つものがあります。これらの拡張機能の多くは利用者の判断で、同意のもとに正当にブラウザに組み込まれたものです。しかし、この機能を利用者が属する会社などの組織の内部において使用したときには、その組織内部の Web サーバに関する情報が外部に送信されることになり、組織からの情報漏えいにあたる行為と考えることができます。IIJ では実際に数多くの企業などにおいて、このような拡張機能が導入されていることを確認し、対策を実施しています。ここに示す情報を組織のセキュリティ基準などと照らし合わせて、組織の内部においては URL を送信するような拡張機能を利用しないように対処することをお勧めします。 アクセスしたURLを外部に送信するブラウザの拡張機能
OpenSSL に Man-in-the-middle (MITM) 攻撃が可能な脆弱性 CVE-2014-0224 が発見され、日本時間2014年6月5日の夜に公開されました。そのアドバイザリでは合わせて7件の脆弱性が報告されていますが、本記事では脆弱性 CVE-2014-0224 を取り上げます。IIJ でも本脆弱性を調査した結果、MITM 攻撃が可能になるには条件があります。したがって、例えば使用している OpenSSL のバージョンや SSL/TLS 通信の利用の仕方に応じて、アップデートの緊急性を個別に検討する余地があります。 概要 本脆弱性による MITM 攻撃[1]MITM 攻撃とは、サーバとクライアントの間に攻撃者が割り込み、通信内容の盗聴や改ざんを行う攻撃です。では、サーバとクライアントの両方が OpenSSL を使っている場合に、その間にいる攻撃者が SSL/TLS ハ
本稿では HeartBleed bug による秘密鍵漏洩の可能性を考察します。 OpenSSL で利用される RSA 秘密鍵のフォーマットは PKCS#1[1]Public-Key Cryptography Standards (PKCS) #1: RSA Cryptography Specifications Version 2.1 http://tools.ietf.org/html/rfc3447#section-3.2 で定められています。暗号化された暗号文の復号、もしくはデジタル署名を行う際に RSA の秘密鍵による操作が行われます。SSL/TLS サーバに https でアクセスした場合には、その両方の用途で秘密鍵が用いられます。そのため HSM などの仕組みが無い場合には秘密鍵がメモリ上に展開されている可能性が高いと言えます。実際 Cloudflare Challenge[2
日本語などのマルチバイト文字を扱う環境において、IME (Input Method Editor) は切っても切り離せない機能です。最近は、この IME に常時インターネット接続を必要とする、クラウド関連の機能が実装されることが増えてきました。うまく使えば有益な機能ですが、利用における注意点などについて説明します。 クラウド機能の定義は IME 毎に異なりますが、概ね以下の様な機能を指しています。 ユーザ辞書の外部サーバへの保存(辞書同期)外部サーバからの変換候補の取得(クラウド変換) これらの機能は文字入力精度や効率の面から見ると非常に魅力的です。ですが、セキュリティの面から見た場合には注意する点があります。 ユーザ辞書の外部サーバへの保存(辞書同期) 殆どの IME はユーザの入力データを元に自動学習しており、効率的な変換が可能です。これらには自動的に学習した単語や、ユーザが自ら登録し
前回の BHEK に関するブログの続報です。今回はインストールされるマルウェアの解析結果や、ドライブバイダウンロードの入り口サイトとなった Web サーバへの侵入手段などを紹介しています。 改ざんと侵入手段 トレンドマイクロのブログでは、マルウェアに感染させる不正な Web サイト (マルウェア感染サイト) へ誘導するコンテンツが挿入された Web サイト (入り口サイト) は、悪性の Apache モジュールがインストールされ、それが原因で改ざんが発生していたことが報告されています。 IIJ で確認したところ、改ざんされたコンテンツにアクセスしたユーザは、マルウェア感染サイトに誘導されました。その感染サイトのコンテンツにより、Java、Adobe Flash、Adobe Reader などのブラウザプラグインの脆弱性を悪用し、マルウェアのダウンロードを行います。 これら入り口サイトの W
本日、0day.jp のブログにおいて、日本国内において BHEK2 (Blackhole Exploit Kit Version 2) の改ざんが多発しているとの報告がなされていたため、IIJ でも独自に調査を行いました。 その結果、本日夕方の時点でこれらの Web サイトの少なくとも40件以上に、マルウェアに感染させる不正なサーバへ転送を行う、悪意のあるコードが残されていました。このような入口となる改ざんされたサイトも多数存在しますが、マルウェアに感染させるサーバも世界中に30件以上存在しています。別の情報によると、本日だけでも世界中にマルウェアに感染させるサーバが少なくとも400台以上存在するため、世界的な大規模マルウェア感染事件である可能性があります。このため、ホスト名や IP アドレスによるブロックは困難であると考えられます。一方、URL のパス部には以下のような特徴が見られるた
インターネット上の IPv4 アドレスを広範囲にスキャンして、SSL/TLS, SSH で利用されている公開鍵証明書および DSA 署名を収集したところ、SSL/TLS では5.57% (714,243アドレス)、SSH では9.60% (981,166アドレス) が、意図せず他のサイトと秘密鍵を共有していることが報告されています。その原因は機器出荷時のデフォルト鍵を利用しているケースと、鍵生成時に擬似乱数生成モジュールのエントロピー不足であることが指摘されています。善意で提供されているオンライン鍵チェックサービスにより公開鍵が脆弱かどうかチェックできますので、必要な場合には早急に対策を実施してください。 USENIX Security Symposium は、毎年実践的な研究発表が行われる場で、本年は8月6日から10日にかけて、米国 Redmond にて他のワークショップとともに開催され
DNS を標的とした攻撃や事件がたびたび報告されています。最近ではユーザの端末 PC の DNS 設定を書き換えるマルウェア DNSChanger が話題となりましたが、ブラジルでは昨年、ホームルータなどへの攻撃で偽の DNS を参照させる大規模な事件が発生しました。この事件では、主にオンラインバンキングを標的として偽のサイトに誘導される被害が確認されています。 2012年3月27日からブラジルで行われた 2012 FIRST Symposium, Sao Paulo で、この攻撃事例が報告されました[1]CERT.br の Cristine Hoepers 氏により ”Phishing and Trojan Banking cases affecting Brazil” … Continue reading。ここでは、この事例について紹介します[2]日本では、2012年6月15日に行われ
この脆弱性は2012年5月7日にリリースされた MySQL バージョン 5.1.63 と 5.5.24 において修正されました。認証時に指定するパスワードは何でもよく、認証要求を繰り返すと一定確率でログインが可能というかなり奇妙な脆弱性です。すべての環境において発生するわけではありませんが、攻撃成立時には深刻な影響を受けます。 該当するバグチケットは以下です。リリースバージョンも同様の修正でした。 MySQL Bugs: #64884: logins with incorrect password are allowed Rapid7 により PoC や影響が確認された環境等が纏められています。 CVE-2012-2122: A Tragically Comedic Security Flaw in MySQL アプリケーションに対するコード修正は1行のみ、発生する環境が限られている、非常
先週末の5/25(日本時間では5/26)に日本企業を含む複数の大企業に対する攻撃を実施するとの予告がありました。一部の海外メディアや Twitter 等でも情報が流れていたので、ご存知の方もいるでしょう。本記事では攻撃予告から攻撃に至るまでの状況とその対応についてご紹介したいと思います。 予告内容 4/11に TheWikiBoat を名乗るグループが Pastebin で攻撃予告のプレスリリースを発表しました。攻撃作戦名は Operation NewSon (#OpNewSon)で、内容は5/25に大企業のサイトに対して DDoS 攻撃を行うことを呼び掛けるものでした。また IRC のチャネルに参加すること、攻撃ツールとして LOIC[1]LOIC (Low Orbit Ion Cannon)は Anonymous が DDoS 攻撃でよく利用する攻撃ツール。ただし TheWikiBoa
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
