Heartbleed攻撃は脆弱性公開から1週間で100万件超--日本IBM「2014年上半期 Tokyo SOC情報分析レポート」

EnterpriseZine / 2014年8月28日 22時10分

▲Apache Strutsの脆弱性を悪用する攻撃の検知数推移(日本国内)

 日本IBMは8月27日、「2014年上半期Tokyo SOC情報分析レポート」を公表した。世界10箇所に設置したIBMのSOC(セキュリティオペレーションセンター)で1月から6月に観測した脅威動向をまとめた。今年4月に大きな騒動になったOpenSSLやApache Strutsの脆弱性の影響について報告している。

■Heartbleed攻撃は脆弱性公開から1週間で100万件超

 IBMのSOCでは、130カ国以上4000社の顧客システムのセキュリティイベントを監視し、そこから得られる1日200億件に上るデータをリアルタイムに相関分析している。その解析結果を国内の動向にフォーカスして分析し、半年ごとに公表しているレポートが「Tokyo SOC情報分析レポート」だ。今回のレポートでは、4月に相次いで発生し、多くの担当者が対応に追われることになったOpenSSLの脆弱性(CVE-2014-0160と、Apache Strutsの脆弱性(CVE-2014-0094など)を中心に扱っている。

 OpenSSLの脆弱性は、いわゆるHeartbleed攻撃として騒動になったもの。この脆弱性を悪用するとSSL通信を行っているプロセスの一定サイズのメモリの内容を読み取ることができる。このため、認証済ユーザーのログインセッション情報から、ユーザーがサーバーに送信したIDやパスワード、秘密鍵の情報まで漏れる可能性があった。

 調査にあたったチーフ・セキュリティ・アナリストの井上博文氏によると「脆弱性公開直後の4月11日から大量の検知が確認され、検知数は減少しているものの、いまも攻撃が継続している状況」だという。4月11日から16日までの間は、検知数が1日あたり20万件以上に達する日があり、送信元IPアドレス数は11日から21日までの間に1日あたり1000アドレス前後確認された。7月末までのTokyo SOCでの検知件数の総数は130万件で、世界全体に占める日本国内の割合は19.1%だった。

 送信IPアドレスは、多い順に、アメリカが47.4%、イギリスが31.9%、中国が10%。アメリカのIPアドレスは半数近くがLinode、Amazonといったクラウドサービス事業者のホストを使用していた。イギリスに関しては、特定のプロバイダのADSL利用者用のアドレスからの件数が多く、このアドレスでは、特定の海外企業のIPアドレスのみに攻撃を行っていたという。中国の場合は、特定のアドレスから大量に攻撃を行っているケースがある一方、特定のアドレスレンジからの分散型の攻撃の傾向が見られた。

  • 前のページ
    • 1
    • 2
  • 次のページ
EnterpriseZine

トピックスRSS

ランキング