JSOCサイバー攻撃トレンドレポート（2020.10）～Webサーバに向けた脆弱性スキャナ通信を多数観測

「JSOCサイバー攻撃トレンドレポート」は、ラックのセキュリティ監視センターJSOCで観測したサイバー攻撃の最新情報をお知らせします。自社へのサイバー攻撃に関する調査や脆弱性対策の参考として頂けるよう、重要な内容のみをピックアップして提供します。

2020年10月の「重要インシデント」の発生状況

「重要インシデント」とは、検知件数が少なくても攻撃の成功を確認もしくは被害が発生している可能性が高いと判断されるセキュリティインシデントのことです。

10月全体の重要インシデント発生状況は全体で42件。内訳はインターネットからの攻撃が33件（78.6%）、ネットワーク内部からの攻撃が9件（21.4%）でした。

夏以降にIPAなどの公的機関やセキュリティベンダより注意が呼びかけられていたEmotetの感染事例が落ち着きを見せました。

1）インターネットからの攻撃

緊急性の高いインシデントとしてWebサーバ上にバックドアと考えられるファイルがアップロードされたインシデントが1件発生しました。悪用された脆弱性は特定できておりませんが、バックドアがアップロードされ、当該バックドアへの通信を検知しました。

インシデント全体の傾向として、クロスサイトスクリプティングが17件と半数以上を占めていますが、これらは特に新しいタイプの攻撃通信ではなく、常に脆弱なWebアプリケーションを探査する攻撃通信の発生によるものです。

2）ネットワーク内部からの攻撃

ランサムウェアの一種であるSodinokibiへの感染が疑われる通信や、不正に暗号資産（仮想通貨）を採掘させるツールを動作させた通信を検知したインシデントが発生しています。

2020年10月の「注意が必要な通信」の発生状況

「注意が必要な通信」は、大きな被害には発展していないものの注目すべき攻撃通信です。

傾向としては、一般的に脆弱性スキャナと呼ばれるツールを用いた攻撃通信を多く観測しました。この攻撃通信にはWebサーバに対して脆弱性や設定不備の有無を短時間で調査するもので、攻撃者はサーバ侵害に向けた事前準備を行っていると推察されます。

※ 当レポートに掲載したインシデント件数は速報値のため、JSOC INSIGHTにて公開する情報とは異なる場合があります。