【2018年度サイバー攻撃白書 3Qレポートの攻撃分析発表】 「攻撃遮断くん」で検知した攻撃ログの約60%が、脆弱性スキャンを目的としたアクセスであると判明 3ヶ月で1300万件もの攻撃を観測
サイバーセキュリティクラウドが「2018年度 サイバー攻撃白書~3QVer.~」を発表した。「2018年度 サイバー攻撃白書」とは、Webサイトへのサイバー攻撃を可視化・遮断するクラウド型WAFの「攻撃遮断くん」で観測した攻撃ログを集約し、分析・算出した調査レポートのことで、各業界の企業に対してサイバーセキュリティに関する意識喚起を目的としている。
なお調査対象期間 は、2018年7月1日(日)~2018年9月30日(日)。対象は「攻撃遮断くん」を利用中のユーザーアカウントで、調査方法 は「攻撃遮断くん」で観測した攻撃ログの分析による。
■2018年3Q(7月~9月)での攻撃状況
※株式会社サイバーセキュリティクラウド調べ
このグラフを見ると「Blacklisted user agent」の攻撃が最も多く、全体の58%を占めている。また、2018年7月~9月の3ヶ月で13,098,070件に及ぶ数が検知されている。次に多いのが、無作為に既知の脆弱性を試行する「WEBアタック」と、攻撃可能なWebページを探す「Web スキャン」で、ともに12%。2018年9月には、3Qを通して8,668,717件を記録した。これは、最高攻撃数である。
■Blacklisted user agentについて
「Blacklisted user agent」は、脆弱性スキャンツールを利用したBotによる攻撃を検知したもの。以下は、「Blacklisted user agent」による攻撃を日別でグラフ化したものだ。「攻撃遮断くん」では、一日あたり100,000〜150,000件前後攻撃されており、。最も高い数値では374,300件検知している。
日別の「Blacklisted user agent」検知(グラフ用見出し)
※株式会社サイバーセキュリティクラウド調べ
■Apache Struts2の脆弱性について
Apache Software Foundationから、2018年8月22日にApache Struts2の脆弱性(CVE-2018-11776)が発表された。「攻撃遮断くん」はこの脆弱性に対する攻撃を既存のシグネチャで検知できたが、精度向上のために専用のシグネチャを作成し、アップデートを実施した。
下記のグラフは、専用シグネチャを適用してから計測された検知ログである。2018年8月24日以降検知数が大幅に高まり、その後も攻撃が検知されている。脆弱性の発表直後だけでなく、一定期間経過後も注意が必要であることがわかる。
3QでのApache Struts2脆弱性(CVE-2018-11776)への攻撃検知(グラフ用見出し)
※株式会社サイバーセキュリティクラウド調べ
■国別での攻撃状況
攻撃元IPアドレスを国別に集計したのが、下記のグラフだ。それぞれの順位とパーセンテージを表示している。1位:ドイツ(30%)、2位:アメリカ(19%)、3位:日本(16%)、4位:中国(8%)、5位:フランス(5%)。その他は、22%という結果になった。
国別での攻撃状況(グラフ用見出し)
※株式会社サイバーセキュリティクラウド調べ
下記は、国別の「Blacklisted user agent」による攻撃検知を見た場合のグラフ。ドイツからの攻撃が、51%と圧倒的に多い。2018年8月23日の「Apache Sturts2脆弱性(CVE-2018-11776)」発表後の攻撃元IPを国別で集計したグラフでは、中国からの攻撃が最も増えている。
3Qの国別の「Blacklisted user agent」攻撃検知(グラフ用見出し)
※株式会社サイバーセキュリティクラウド調べ
「ApacheStruts2脆弱性(CVE-2018-11776)」を狙った攻撃は、中国からが最も多いが、「Blacklisted user agent」による攻撃はドイツが最も多い。全体でも、ドイツが1位だった。
3Qでの国別の「Apache Struts2脆弱性(CVE-2018-11776)」への攻撃検知(グラフ用見出し)
※株式会社サイバーセキュリティクラウド調べ
以下、本調査における攻撃概要がこちら。今後のサイバーセキュリティに関する知識向上のためにも、ぜひ全体像を把握してもらいたい。
1.Blacklisted user agent
脆弱性スキャンツールを利用したBotによる攻撃。「ZmEu」「Nikto」「Morfeus」などといったスキャンツールが該当する。
2.WEBアタック
Dos攻撃に近い攻撃やOSコマンドインジェクションを行う攻撃。
3.WEBスキャン
攻撃の対象を探索する動作や、無作為に行われる単純な攻撃で脆弱性を探す攻撃予兆。
4.ブルートフォースアタック
暗号解読やパスワードを割り出すために総当たりで攻撃する。
5.SQLインジェクション
webアプリケーションの脆弱性を利用し、アプリケーションが想定してないSQL文を実行させることで、DBを不正に操作する攻撃。
6.クロスサイトスクリプティング
攻撃者が作成したスクリプトを脆弱性のあるWEBサイトを利用し、閲覧者に実行させる攻撃。
7.ディレクトリトラバーサル
WEBサーバ上のファイルに不正アクセスする攻撃。
8.その他
各種OSやミドルウェアなどの脆弱性を突いた攻撃。通常、WAFの範囲外とされるものなども含む。WebサイトないしWebアプリケーションを経由しない攻撃。
この記事を「シェア」お願いします。
Amazonギフト券(1,000円分)を30名様に贈呈!
また、入会者全員にビジネスに役立つ話題の書籍等と交換できるPRO-Qポイント「100ポイント」もプレゼント中!
プロフィールPROFILE
PRO-Q 編集部
PRO-Qは「人事/営業・マーケティング/経営者/財務・経理/ITエンジニア」の職種に特化したアンケートメディアです。 職種ごとのサイト展開で、専門テーマのアンケートを毎日実施中。編集部が厳選したトレンドニュースやアンケート調査レポート、PRO-Q著名人インタビューなどを掲載中。 ビジネスに役立つ知識の情報源として、「PRO-Q」をご活用下さい。
この記事にコメントする