次世代ファイアウォールを手がけるパロアルトネットワークスは2014年6月19日、国内企業404社のネットワークを監視して分かったサイバー攻撃の実態について説明した(写真)。共有アプリケーションへの不正アクセスや、共有アプリケーションを介して運ばれる脆弱性攻撃プログラムなどが目立つという。調査期間は2013年3月から2014年3月で、この間に収集した404社の1週間分のファイアウォールログを集計した。
調査方法は、同社のファイアウォールの新規導入を検討するユーザーにファイアウォール機を貸し出し、1週間分のログを提供してもらうというもの。こうして収集した国内企業404社のログを集計した。1週間×404社全体で、ネットワーク帯域幅は800Tバイト、検出したアプリケーションの数は1178個である。脅威ログのレコード数は10億に達し、1314種類の脅威を検出した。
今回の調査では、メールやファイル共有などの一般的な共有アプリケーションの使用頻度が高いという結果が出た。ネットワーク消費帯域で見ると、動画が10%、メールが5%、ファイル共有が3%を占める。実際に、企業にもたらされる脅威の数の17%は、こうした共有アプリケーションを介して運ばれることも分かった。全脅威の8%は、共有アプリケーションを介して運ばれる脆弱性攻撃プログラムである。
使っている共有アプリケーションの種類も多い。1社当たりの平均アプリケーション数は、ファイル共有が17種類、写真/動画が23種類、SNSが20種類、インスタントメッセージが12種類である。
マルウエアの活動のほとんどはWebアクセス
マルウエアの行動ログから分かるマルウエアの活動方法(利用するネットワークプロトコル)は、Webアクセス(HTTP)がログの55%、SSL(HTTPSなど)がログの28%、DNSがログの4%を占める。これらはエンドユーザーが日常的に利用するプロトコルであり、「ありふれた風景に潜んでいる」(パロアルトネットワークス)ことが分かる。
一方で、全世界で見ると、未知のUDPプロトコルがマルウエア行動ログの98.7%を占めている。これは、具体的には「ZeroAccess」と呼ぶマルウエアの行動ログを指しているという。国内ではZeroAccessの痕跡(未知のUDP通信)はほとんど見られないが、注意が必要とした。なお、ZeroAccessはP2P型の分散コンピューティングでボットネットを形成する。このボットは、Bitcoinの発掘にCPU処理能力を提供したり、クリック報酬型広告を不正にクリックしたりといった用途に使われる。
IP電話やファイル共有への不正ログインが目立つ
エクスプロイト(脆弱性を突く攻撃)ログでは、わずか10種類のアプリケーション(ネットワークプロトコル)がログの96%を占めた。上位から、DNSが21%、SIP(IP電話)が21%、SMB(ファイル共有)が17%、Webアクセスが17%、などである。脆弱性攻撃の主な手法は、パスワードの総当り攻撃という。1位のDNSについては、DNSの再帰的な問合せを使ったDDoS攻撃も一般的であるとした。
アプリケーションのSSL対応率では、検出した1178個の36%に当たる425個のアプリケーションがSSLを使用可能だった。SSLはクライアントとサーバーがエンドツーエンドで通信を暗号化してしまうため、マルウエアによる通信などを検閲できなくなってしまう。このため、SSLコネクションを仲介して通信内容を検閲できるようにしておくべきであるとした。