1. WEB公開版につき内容は大幅に
修正・削除しています。
セミナー資料
2015年３月３１日（火）

2. サイバー攻撃のトレンドと
最新の方法

3. 旧来の攻撃（DDOS、マルウェア、パスワードクラッキング、ソーシャルエンジニアリング、脆弱性悪用）
主要サイトの改ざん（脆弱性悪用） サイト改ざん（マルウェア、サプライチェーン悪用）
情報漏えい（Winny, Share, USBメモリ紛失盗用、メール誤送信）
巧妙な手口（フィッシング・ソーシャルエンジニアリング＋サイ改ざん）
特殊なマルウェア（Conficker, Gumbler)
特殊な攻撃方法（SQLインジェクション、DNSキャッシュ）
大規模化DDOS
特殊なマルウェア（STUXNET)
２０００ ２００５ ２０１０
ブログ・掲示板
SNS
SNS2
IP電話
従来の攻撃
• マルウェア
• フィッシング
• スパム
• クロスサイトスクリプティング
新しい攻撃
• クリックジャッキング (LaaS)
• De-anonymization (非匿名化）
• SocialBot / Sockware
• 標的型攻撃
ブラックリスト・境界防御で
ある程度防げる
ブラックリスト・
境界防御は
無効化される
攻撃の変容（～２０１５）

4. アドレススキャン
ポートスキャン
バナー情報収集
WHOIS DB
WEB DNS調査
ソーシャル
エンジニアリング
盗聴
パスワード
クラック
トロイの
木馬
脆弱性
セキュリティホールを
利用した攻撃
情報を盗む 情報の改ざん スパムメールの発信
踏み台の作成 DDOSツールの設置
ログ消去 バックドア設置と偽装
情
報
収
集
侵
入
占
拠
撤
収
調査段階の特徴
SNS Facebook Twitter Messenger
検索エンジンなどを利用
Reconnaissance
Gain network
Access
Create Persistence
ソーシャルエンジニアリングの利用
攻撃の初期段階
写真、勤務先住所などの入手
Messengerやメールなどで連絡
攻撃開始
クライアントPCを標的
脆弱性のあるサーバの調査
悪用する脆弱性の選択
標的ネットワークへの持続的攻撃
遠隔操作ソフトの利用
ネットワークの掌握
パスワードの把握
接続元の隠蔽、匿名化
破壊工作
攻撃の全貌 （２０１５）

5. 最近のトレンド：
地下経済と境界防御の無効化
ゼロデイ
マーケット
マルウェア
マーケット
攻撃者
ボットネット
マーケット
指令サーバ ボットネット
スキャンと
侵入
悪意のある
サイト
情報摂取
スパム
DDOS
サービス停止 株式詐欺 悪徳商法・広告
フィッシング
リダイレクト
攻撃したサイトを
ボット化
脆弱性利用
販売
レンタル
Androidアプリケーション
メールの転売
SNS Facebook
SNS Twitter
アプリをダウンロード・利用させる
情報収集サーバ
アプリの開発
販売？
情報収集

6. インターネットの現在
海外の動向

7. 史上最悪のDDOS攻撃
過去最大規模のDDoS攻撃が発生、ピーク時には300Gbps以
上のトラフィック
3月18日からSpamhausをターゲットにした
DDoS攻撃が開始されることになった。
SpamhausではCloudFlareの手を借りながら
対処に当たった。
当初のトラフィックは10Gbps程度だったが、
19日以降拡大し、30Gbpsからピーク時には
90Gbpsにまで達した。さらに22日には
120Gbpsを記録したが、CloudFlareは持ちこ
たえた。
これを見て、攻撃者側は別の方法を取ることにした模様だ。
Spamhaus／CloudFlareを直接攻撃するだけでなく、
CloudFlareが接続 しているインターネットエクスチェンジ（IX）
やTier1プロバイダーに攻撃対象を広げた。この結果、ロン
ドンやアムステルダム、フランクフルト、香港 のIXに大量の
トラフィックが押し寄せ、IXにつながっている多数のネット
ワークにまで影響を及ぼした。この影響を被ったある大手
Tier 1プロバイダーでは、一時期、最大で300Gbpsのトラ
フィックを記録したという。
http://www.atmarkit.co.jp/ait/articles/1303/28/news139.html
Open Resolverの分布図

8. 全インターネットアドレス
の調査（26時間で43億台）
0
200000
400000
600000
800000
1000000
1200000
1400000
1600000
1800000
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26
#ofDNSserversdetected
time (hours)
検出されたDNS サーバ
現在、全世界には
30285322台のDNS
サーバがあり、43億
台のコンピュータをす
べて調査して検出す
るには26時間あれば
充分
カミンスキー攻撃が可能だと
思われるサーバの数は 4835
(9.4.1) 28680 (9.4.2)
[1] 全世界には、１万台以
上のBIND4と8のバージョ
ンを利用しているサーバ
がある。
今回の調査では、
2400万台のオープンリゾルバの
DNSサーバが発見された。

9. Total APNIC RIPE ARIN LACNIC AFRINIC other
Type # # # # # # #
BIND 9.x 2,369,863 336,263 769,182 860,335 96,703 10,953 296,427
BIND 8.x 15,771 3,265 7,065 3,828 355 15 1,243
BIND 4.x 1,935 99 1,362 349 28 N/A 97
Dnsmasq 946,294 495,205 158,282 59,145 159,969 25,993 47,700
Nominum 450,079 209,051 198,019 18,808 14,500 7,465 2,236
Nominum 502 15 23 67 25 N/A 372
PowerDNS 94,299 4,946 57,115 28,138 1,013 35 3,052
Unbound 30,588 5,461 17,926 5,447 1,030 206 518
NSD 25,837 1,296 7,955 13,835 257 13 2,481
Windows 5,324 1,296 386 400 3,217 N/A 25
can’t detect 3,067,979 1,943,992 620,895 291,737 113,120 9,706 88,529
no version info 3,325,822 739,726 1,307,181 710,867 327,504 29,272 211,272
Total 10,334,293 3,740,615 3,145,391 1,992,956 717,721 83,658 653,952
全世界のDNSサーバの分布状況とソフトウェアのバージョン

10. まとめ
• サイバー攻撃のトレンドと最新の手法：境界防御の無効化
自動化技術の進歩により、一回の攻撃でできることは大きく、コストは小
さくなっている。
• 海外の動向と最新の手法：サイバーテロにかかる時間
全世界の４２億台のアドレスも、可能なコストで、３０時間以内で調査す
ることが可能。
• ソーシャルエンジニアリング：職種・パーソナリティの分類と攻撃方法
ソーシャルネットワーク、モバイルデバイスの普及により、境界防御、ブ
ラックリスト手法の効果は相対的に低くなっている代わりに、人への攻撃
（ソーシャルエンジニアリング、標的型攻撃）の脅威が増している。
攻撃者視点を身に付けて脅威シナリオを想定することは、対応の策定の際
には、今後ますます有効になるはずである。