1 概況
JPCERT/CCでは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類しています。脆弱性情報、マルウエアや攻撃ツールの情報などを参考に分析することで、攻撃活動や準備活動の捕捉に努めています。
図1は期間中の宛先ポート番号トップ5の変化を示したグラフです。今期は、WindowsやWindows Server上で動作するプログラムが使用する445/TCPや1433/TCP、エラー通知や通信状態の診断を行なうためのICMP(Ping)、Telnetサーバが使用する23/TCP、Windowsのリモート管理やアクセスに使用するリモートデスクトップ3389/TCP宛へのパケットを多く観測しています。また、トップ5に続くものでは、22/TCPや、MySQLが使用する3306/TCP、Webサーバで使用する80/TCP宛へのパケットなどを観測しています。
クリックすると拡大されます
図2は期間中のパケット送信元地域トップ5の変化を示したグラフです。TOP5の順位は、中国、日本、米国、タイ、インドネシアとなっています。トップ5の中では、日本国内から特定センサーの21318/TCP宛へのスキャンが急増したことにより前四半期3位だった日本が2位へ、2位だった米国が3位へと順位が入れ替わっています。
クリックすると拡大されます
2 注目された現象
2.1 2.1 53/UDP宛のパケットの観測期間中の宛先ポート番号のトップ5には含まれていませんが、本四半期に、53/UDP宛のパケットの一時的な増加が観測されました。図3は53/UDP宛のパケットの変化を示したグラフです。
クリックすると拡大されます
3月15日から3月19日までの間、53/UDP宛のパケットが急増しました。複数の報道等が取り上げた、欧州を中心に活動する非営利のスパム対策組織のSpamhaus Projectと、米セキュリティ企業であるCloudflare社のサーバに対する、DNSサーバを使用したサイバー攻撃 (DDoS攻撃) に関連していると思われます。
DNSサーバへの問合せパケットは、通常は正規のDNSサーバに1パケットが送られるだけですが、今回の事例では、同じ送信元IPアドレスをもつ53/UDP宛のパケットを短時間に多数のセンサーが受信しています。これは、DNSサーバが小さな問合せパケットに対して比較的大きな応答パケットを返すことが多い特性を使ったDDoS攻撃 (DNS Ampといいます。詳細は以下のURLを参照してください。) の一端が観測されたものだと推測しています。
株式会社日本レジストリサービス(JPRS)DDoSにあなたのDNSが使われる ~DNS Ampの脅威と対策~
http://jprs.jp/related-info/guide/003.pdf
3月15日から3月19日までの間にセンサーで確認したパケットの送信元地域は、カナダが最も多く、続いてオランダ、米国の順となっています。
クリックすると拡大されます
図4はアジア・太平洋地域に設置されているTSUBAMEプロジェクトのセンサーが観測した53/UDP宛のパケットの流れを可視化した図です。図4では、カナダとオランダの2つの地域から、日本を初めとするアジア・太平洋地域の各センサーに対して53/UDP宛のパケットが送られている様子が見てとれます。実際には、送信元IPアドレスが詐称された53/UDP宛のパケットがもっと広範囲に送られていると考えられます。仮にセンサーが置かれたIPアドレスに応答するDNSサーバがあれば、大きなサイズの応答パケットが詐称された送信元IPアドレスに送られて通信負荷を押し上げます。すなわち、詐称された送信元のIPアドレスをもつノードが、攻撃対象として狙われているのです。
参考文書:US-CERT Alert (TA13-088A)
DNS Amplification Attacks
http://www.us-cert.gov/ncas/alerts/TA13-088A
Internet Systems Consortium
Is Your Open DNS Resolver Part of a Criminal Conspiracy?
https://www.isc.org/wordpress/is-your-open-dns-resolver-part-of-a-criminal-conspiracy/
TrendMicro
DNS Amp手法による過去最大規模のDDoS攻撃、スパム対策組織「Spamhaus」がターゲットに
http://blog.trendmicro.co.jp/archives/7012
IBM Tokyo SOC Report
Spamhausに対するDNSリフレクション攻撃について
https://www-304.ibm.com/connections/blogs/tokyo-soc/entry/dnsreflection?lang=ja