昨年から発生している大規模サービス不能攻撃
注: このページは当日の資料のコピーです。
オリジナルは www.e-ontap.com にあります。
Google のパブリック DNS (8.8.8.8, 8.8.4.4) を使用している場合 www.e-ontap.com は見られません。
本コピーでも一部のリアルタイムの図は www.e-ontap.com にリンクしており見られません。講演者の思想に基づく制限です。
中京大学工学部 鈴木常彦
Jul 2, 2024 ESD21 サイバーセキュリティシンポジウム
2023年の主な DDoS 被害 (特に3月-5月)
DDoS = Distributed Denial of Service attack (分散サービス拒否攻撃)
- 高島屋
- 羽田エアポートライン
- セゾンカード
- ヤマハ
- 日本旅行
- ソニー研究所
- 東京電力
- 日本郵便
- 西日本電信電話
- 西日本旅客鉄道
- 政府広報オンライン
- 日本銀行
- 国立環境研究所
- 大学病院医療情報ネットワーク
- 医薬品医療機器総合機構
|
- 労働政策研究・研修機構
- 出入国在留管理庁
- 日本年金機構
- 外務省
- 総務省
- 消防庁
- 東京都
- 新潟市
- 富山県
- 三重県
- 奈良県
- 大阪府
- 大阪市
- 鹿児島県
- 沖縄県
|
その他全容はこちら
2024年の主な DDoS 被害
- 豊田市 (Jan 16 17:18:19 - Jan 16 23:51:22)
- 国立環境研究所 (Jan 23 05:01:32 - Jan 23 20:01:22)
- 日本自動車整備振興会連合会(JASPA)(Feb 22 00:00:21 - Feb 22 09:09:57)
- 愛知医科大学 (Apr 10 21:22:37 - Apr 11 01:05:56)
- 東北医科薬科大学 (Apr 12 00:43:09 - Apr 12 09:55:23)
- 埼玉医科大学 (Apr 13 04:43:00 - Apr 13 15:56:42)
- 京都府立医科大学 (Apr 13 16:19:09 - Apr 13 22:11:04)
- 農業・食品産業技術総合研究機構 (Mar 05 23:06:10 - Mar 05 23:55:10)
- TOTO株式会社 (Mar 21 00:36:21 - Mar 21 04:21:08)
- 国立障害者リハビリテーションセンター (Mar 22 07:19:28 - Mar 22 19:24:23)
- 政府認証基盤 (Jun 14 16:19:29 - Jun 15 05:10:28)
- スナップオンツールズ株式会社 (断続・継続的)
DNS ハニーポット による観察
2018 年 9 月から DNS キャッシュサーバ に通信量の制限を施して囮サーバ (ハニーポット) としてのオープンリゾルバを運用
2018年からのクエリ数推移
今月の状況 (流量)
クエリ数
トラフィック (outbound udp 53)
今月の状況 (応答内訳)
問い合わせの大部分は「存在しない名前」(NXDOMAIN)
攻撃は「DNS 水責め」と考えられる
DNS 水責め (Chinese Warter Torture) の図
応答障害の検出
ログから "all servers for this domain failed, at zone ..." をカウント
Mar 13 14:34:35 query: 138.197.78.98 ncv-es-sms-nccp.kdca.go.kr. A IN
Mar 13 14:34:35 error: SERVFAIL <ncv-es-sms-nccp.kdca.go.kr. A IN>: all servers for this domain failed, at zone kdca.go.kr. no server to query nameserver addresses not usable
Mar 13 14:34:35 reply: 138.197.78.98 ncv-es-sms-nccp.kdca.go.kr. A IN SERVFAIL 0.000000 0 44
Mar 13 14:34:35 notice: ip_ratelimit exceeded 138.197.78.98 1 wwwrelaypocztachs.kdca.go.kr. IN A
Web への掲示
応答障害 (昨年 3月15日 - 5月31日 の分析)
応答障害エラー/日
最小: 102,306
最大: 566,757
平均: 254,540
標準偏差: 110,039
応答障害ゾーン/日
最小: 707
平均: 1,982
最大: 10,116
標準偏差: 1,656
障害ゾーン総数 142,739 (うち jp は 585)
平均 250,721回/日 のレートリミットがかかった上での数字である。
ファイアウォールでカウントしたポート 53 への UDP パケット数は約 1万 / 5分 = 280万/日 (約 30 qps) であった。リミットされたクエリの約10倍が到来している。
クエリ数の推移
クエリ数
応答障害数の推移
現在はこちら
障害の時間帯 (JP)
影響のある時間帯を考慮しているようには見えない
TLD別の応答障害ゾーン数 Top 40
(2023 3/15 - 5/31)
- com 45123
- arpa 14848
- fr 6204
- net 5957
- de 5730
- org 4979
- uk 2202
- se 2112
- br 2043
- info 1993
- it 1590
- ca 1428
- ch 1393
- eu 1389
- xin 1381
- ru 1371
- cn 1371
- es 1351
- us 1274
- biz 1274
- tr 1215
- lv 1163
- nl 1102
- dk 1063
- be 958
- pl 957
- au 948
- lt 939
- ro 916
- in 821
- gov 777
- za 738
- at 667
- tech 663
- mx 623
- co 623
- xyz 605
- jp 585
- sk 580
JPドメイン (ゾーン単位) での応答障害カウント Top 30
(2023 3/15 - 5/31)
- at.nttdocomo.co.jp. 23845
- pref.aichi.jp. 13758
- pref.okinawa.jp. 9883
- jil.go.jp. 9845
- pref.nara.jp. 9639
- pref.osaka.jp. 8882
- takashimaya.co.jp. 8704
- pmda.go.jp. 7528
- nies.go.jp. 6837
- enekoshop.jp. 6710
- hane-line.co.jp. 6656
- saisoncard.co.jp. 6642
- pref.toyama.jp. 6146
- android.jp. 4694
- v4.cyber.ipa.go.jp. 4513
- pref.kagoshima.jp. 3451
- boj.or.jp. 3408
- animate-onlineshop.jp. 3294
- yamaha.co.jp. 3222
- nta.co.jp. 2132
- csl.sony.co.jp. 1878
- post.japanpost.jp. 1645
- gaga.ne.jp. 1048
- umin.ac.jp. 904
- gov-online.go.jp. 761
- idc.nttdocomo.co.jp. 723
- city.osaka.lg.jp. 655
- ntt-east.co.jp. 630
- prtls.jp. 505
- montegrappa.jp. 453
攻撃元の分析 (1)
2023年3月のIPアドレス分布
TCP接続元の死活監視グラフ
4/13 に調査したTCP接続元を ping で継続的に死活監視
攻撃元の分析 (2)
最小: 1,241
平均: 2,000
最大: 3,017
標準偏差: 484
総IPアドレス数 (2023年3月15日-5月31日) 60,335
TCP 3,862 / IPアドレス総数 26,514 = 15% (5月分)
588 のTCP接続元のサンプリング分析 (4月5日) では 78% が米国の某大手データセンタ
攻撃例
2023/3/22 mofa.go.jp (外務省) 攻撃の推移
3月22日 07:45 - 09:28 クエリ総数 1,632 (ratelimited)
2023/6/5 pref.osaka.jp (大阪府) 攻撃の推移
6月5日 17:34 - 6月6日 01:44 クエリ総数 7,367 (ratelimited)
攻撃元はいずれも 1 IP アドレスのみで、1/4 qps (リミット前でも推定 数qps) の緩慢な攻撃であり膨大な数 (少なくとも数千) の踏み台の使用が推察される。
直近の状況
DDoS Victims Top 50 of Today -- Sun Jun 30 08:01:06 JST 2024
count zone time (first seen - last seen)
----------------------------------------------------------------------------------------
9962 hccc.gov.tw. Jun 30 00:00:05 - Jun 30 08:01:05
9191 ntbk.gov.tw. Jun 30 00:00:03 - Jun 30 07:11:36
8483 mountgambier.sa.gov.au. Jun 30 02:09:56 - Jun 30 08:01:04
5712 tenmak.gov.tr. Jun 30 00:00:04 - Jun 30 08:00:43
5341 bpi.pt. Jun 30 00:00:01 - Jun 30 08:01:03
5232 zafer.gov.tr. Jun 30 03:30:32 - Jun 30 08:01:04
4216 uccstggeo.t-mobile.com. Jun 30 00:00:25 - Jun 30 07:57:01
3804 atlt6.ga.comcast.net. Jun 30 00:01:02 - Jun 30 02:46:58
3598 bcdv-p.pa.comcast.net. Jun 30 05:16:33 - Jun 30 07:58:24
3524 cambriacountypa.gov. Jun 30 00:56:14 - Jun 30 03:31:40
http://www.e-ontap.com/dns/openresolver/data/todaydown.txt
水責めのまとめ
- 飛来する平均クエリ頻度: 30qps
- 応答障害となったクエリ数/日: 254,540
- 応答障害が発生したゾーン数/日: 1,982
- 応答障害が発生したゾーン総数: 142,739
- 応答障害が発生したゾーン数(jp): 585
- 総IPアドレス数: 60,335
- IPアドレス数/日: 2,000
- TCP接続IPアドレス数 (5月分): 3862 (15%)
- 攻撃継続時間: (jp のみ分析)
- 1時間未満 77% (うち半数はクエリ1発のみ)
- 4時間未満 94%
- 最長 約26時間、次点 16時間 (jp の場合)
(注: 現在 go.kr へ 2 週間以上攻撃が続いている)
対策
- 監視
- オープンリゾルバ撲滅 (IPアドレス詐称防止含む)
- サーバソフトウェアに最新のパッチを適用
- レートリミット (クエリ数制限)
- サーバ増強
- DDoS 対策サービスの利用
- 専用のファイアウォール導入
- 我慢 (攻撃 1時間未満 77%, 4時間未満 94%)
- ダウンを広報する連絡手段を用意 (自ネット以外で)
- サイバー攻撃全般の話として、どう防ぐかよりも攻撃されてしまった時の BCP (Business Continuity Plan:事業継続計画) を検討しておくことが重要
... インターノットをインフラと考えてはいけない
参考: DDoS 攻撃への対策について (令和5年5月1日 警察庁サイバー警察局, 内閣サイバーセキュリティセンター)
最新脆弱性情報
Linux 等サーバ へのリモートログインに用いられている OpenSSH のサーバプログラム sshd に非常に危険な脆弱性が見つかり 7/1 にパッチが公開されました。攻撃プログラムの公開や攻撃らしきログがすでに観測されています。最悪サーバが管理者権限で乗っ取られます。迅速な対応が求められています。
参考情報: "OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた"