【Webのセキュリティ】VxWorks の脆弱性を狙った攻撃がしつこい
最終更新日: 2021/04/28 4:16pm
こんにちは。経理の小高です。
先々週になりますが、弊社管理のサーバへVxWorksの脆弱性を狙った不正アクセスが大量に発生した件について報告いたしました。
リンク:【IoTのセキュリティ】VxWorks の脆弱性を狙った攻撃の一部始終
不正アクセスは2日で終わったように見えましたが、今週月曜日から火曜日(4/25から4/26)にかけてまた発生しました。
これによるサーバーの停止や情報の流出といった事故はありませんでした。
被害にあったのは前回と違うサーバー。IDS(不正アクセス検知システム)によってカウントされた「攻撃件数」をグラフにしたものを以下に掲示します。
2週前と同程度の規模の不正アクセスが発生し、同様に2日程度で収束しています。
前回のブログに書きましたように、弊社のウェブサーバは「不正アクセスしてきた攻撃元」をIPアドレス単位で自動的に隔離しています。
したがいまして、1度でも検出されたアドレスは2度と(弊社サーバーへの攻撃には)利用できません。
隔離されたIPアドレス(ブラックリストに登録された件数)を日別にカウントしたものが以下です。
こういったわけで4/12-13に使われたIPアドレスは利用できませんので、4/25-4/26で新たに85IPが利用されています。
ざっとみた感じではブラジルが多いようです。
このようなブラックリスト化は「いたちごっこ」でして、ずいぶん前のブログに書きましたように匿名サーバーを経由したアクセスも多数あるはずです。
ブログ:【ホームページの管理】「ちょっと待って、この犯人、ウクライナのプロキシを経由してるのよ!」ペネロピ・ガルシア クリミナルマインドより
前回の記事と今回の記事を注意深くご覧になった方は、4/12と4/13での隔離IP数が違うことに気が付かれたかもしれません。前回は両日とも90IPでした。
正確にいいますと、前回から今回までの間に、180IPのうちの5IPについて同一セグメント(クラスC)が攻撃に利用された、ことを意味しています。
平たくいいますと、同じ攻撃者によって(ブラックリストをかわすために)異なった(でも近い)アドレスが利用されたことが5回あった、ということを示しています。
オクトパスはこういったケースでは、隔離する単位をIPからネットワーク(クラスCのセグメント)に切り替えます。そのときに、5つのIPをブラックリストからブラックネットワークに昇格させています。
弊社のお客様には「海外に向けたウェブサイト(外国語ページ)」を運営されてらっしゃる会社様・団体様がいらっしゃいますので、「安直に海外からのトラフィックを遮断する」といったことはできません。
攻撃者から防御しながらできる限り世界中の方々にウェブサイトを閲覧していただくには、「あやしいアドレスやネットワークを遮断していく」というのがもっともよい方法です。
遮断する基準は以下のようなケースです。
・IDSにより既知の脆弱性をついた攻撃だと判定された場合
・ブルートフォース攻撃と判断される場合:httpサーバーのログから「攻撃と考えられるパターン」を自社独自にシステマティックに判断しています。
など。
地道に「貯金」しつづけたおかげで、現在208,823 IP が弊社のウェブサーバーから遮断されています。
ウェブサイトのセキュリティについては是非弊社へご相談ください。
←「【お知らせ】イー・レンジャーかわら版(2021年5月号:マイクロソフト : GAFAM)を発行しました。」前の記事へ 次の記事へ「【お知らせ】GW中の営業につきまして」→