サイバーセキュリティクラウド、サイバー攻撃に関するデータを分析した「サイバー攻撃速報」を発表
- 2018/06/27 10:30
- SecurityInsight
サイバーセキュリティクラウドは6月25日、各業界の企業に対してサイバーセキュリティに関する注意喚起をリアルタイムに実施するため、自社独自に集約したサイバー攻撃に関するデータを分析した「サイバー攻撃速報」を発表した。その概要は以下のとおり。
■マルウェア「Satori」の攻撃状況について
2018年6月15日、ボットネットを構築するマルウェア「Satori」が、新たな亜種のマルウェアを拡散させようとする攻撃が日本国内でも観測された。Satoriは、Miraiの亜種として知られている。拡散を目的としたこの攻撃は、RadwareやQihoo 360 Netlabなど海外のセキュリティ企業でも観測が確認されている。
同社で観測したデータでは、ロシアW杯が開幕した6月15日より本攻撃が観測され始めるようになり、6月17日には5万件近い攻撃が観測された。6月17日を境に、185.62.190[.]191に仕向ける攻撃数は減少しているが、6月20日以降には217.61.6[.]127に仕向ける攻撃が新たに出現していることが判明した。
この結果より、185.62.190[.]191というダウンローダーが悪意のあるホストと世間に認識され始めると、次のダウンローダーへ誘導先を変え、さらにこれを繰り返すような動きを攻撃者側は意図して実施している可能性がある。
この攻撃は、リモートコマンド実行の脆弱性を悪用して、Satoriダウンローダーと思われる185.62.190[.]191、217.61.6[.]127からマルウェアをダウンロードするように仕向けるもの。また、UserAgentが「Hello, World」という特徴的なもので攻撃をしている。
今回の攻撃元IPアドレスは世界中に分散されているため、単純なIPアドレスのブロックという従来のFW機能では対応するのが難しい攻撃となる。また、SatoriダウンローダーのIPアドレスは、今回の観測により複数あることが確認できている。そのため、SatoriダウンローダーのIPアドレスが変更になること・攻撃ペイロードを変化させる可能性があることも想定されるため、引き続き注意が必要となる。