LAC WATCH

セキュリティとITの最新情報

RSS

テクニカルレポート | 

JSOCサイバー攻撃トレンドレポート(2020.10)~Webサーバに向けた脆弱性スキャナ通信を多数観測

「JSOCサイバー攻撃トレンドレポート」は、ラックのセキュリティ監視センターJSOCで観測したサイバー攻撃の最新情報をお知らせします。自社へのサイバー攻撃に関する調査や脆弱性対策の参考として頂けるよう、重要な内容のみをピックアップして提供します。

2020年10月の「重要インシデント」の発生状況

「重要インシデント」とは、検知件数が少なくても攻撃の成功を確認もしくは被害が発生している可能性が高いと判断されるセキュリティインシデントのことです。

10月全体の重要インシデント発生状況は全体で42件。内訳はインターネットからの攻撃が33件(78.6%)、ネットワーク内部からの攻撃が9件(21.4%)でした。

夏以降にIPAなどの公的機関やセキュリティベンダより注意が呼びかけられていたEmotetの感染事例が落ち着きを見せました。

2020年10月の重要インシデント発生状況

1)インターネットからの攻撃

緊急性の高いインシデントとしてWebサーバ上にバックドアと考えられるファイルがアップロードされたインシデントが1件発生しました。悪用された脆弱性は特定できておりませんが、バックドアがアップロードされ、当該バックドアへの通信を検知しました。

インシデント全体の傾向として、クロスサイトスクリプティングが17件と半数以上を占めていますが、これらは特に新しいタイプの攻撃通信ではなく、常に脆弱なWebアプリケーションを探査する攻撃通信の発生によるものです。

2)ネットワーク内部からの攻撃

ランサムウェアの一種であるSodinokibiへの感染が疑われる通信や、不正に暗号資産(仮想通貨)を採掘させるツールを動作させた通信を検知したインシデントが発生しています。

2020年10月の「注意が必要な通信」の発生状況

「注意が必要な通信」は、大きな被害には発展していないものの注目すべき攻撃通信です。

傾向としては、一般的に脆弱性スキャナと呼ばれるツールを用いた攻撃通信を多く観測しました。この攻撃通信にはWebサーバに対して脆弱性や設定不備の有無を短時間で調査するもので、攻撃者はサーバ侵害に向けた事前準備を行っていると推察されます。

概要 JSOCの検知内容 検知時期
概要 JSOCの検知内容 検知時期
特定の脆弱性スキャナによる通信の増加 脆弱性スキャナの一種である「nuclei」を使用した攻撃通信が増加しました。攻撃の内容としては/etc/passwdなどの設定ファイルの参照やクロスサイトスクリプティングなど多岐に渡ります。検知した攻撃通信では、User-Agentヘッダに「Nuclei」の文字列が含まれていました。 9月下旬~
45.146.165.167からの攻撃通信の増加 10月1日から14日にかけて、45.146.165.167からSQLインジェクション攻撃の通信が急増しました。攻撃通信の特徴から、SQLインジェクションの脆弱性検出に特化したスキャナである「sqlmap」を使用し、多数の企業へ攻撃を行ったと考えます。 10月上旬~
10月中旬

※ 当レポートに掲載したインシデント件数は速報値のため、JSOC INSIGHTにて公開する情報とは異なる場合があります。

この記事は役に立ちましたか?

はい いいえ