エフセキュアブログ : 9.18

今年の9.18サイバー攻撃は静かだった？

2015年09月20日06:00

9月といえば、18日の中国からのサイバー攻撃が毎年恒例のイベントです。しかし、今年は静かなもので、特に目立ったウェブ改竄やDDoSなどの攻撃は確認できていません。
＃私の観測ポイントで確認できていないだけかもしれませんが・・・。

なお、他国のウェブサイトは戦後70年絡みでの改竄被害が多数出ています。

国内において9.18に関係した被害が確認できなかった要因として、今年は直近に靖国参拝や尖閣諸島などの政治的要素の強い報道がなかったことが挙げられるかもしれません。
なお、この政治的背景の観点では例年9.18サイバー攻撃を行っている一部の攻撃グループが、15日に安部首相が日・ベトナム首脳会談を行ったことに対して反応しています。

攻撃趣旨としては南シナ海の警備を支援するために巡視船や巡視艇を供与する方針を決めたことの対して物申したいようです。
＃こちらも大規模改竄といったものではありません。

ここ最近の攻撃傾向をみますとイベント的なサイバー攻撃は政治的なトリガーがなければ、大規模な攻撃は行われていない印象があります。
しかし、この手のイベント前は攻撃者らがチャット上で攻撃に関する議論を行っていることから、全く攻撃が無いとは言い切れません。
特にイベント的攻撃はDDoSのような一撃必殺的なものも予想されるため、対策準備をしないわけにもいかないのが悩ましいところです。

日本国内においては来年のサミット、2019年のラグビーW杯、2020年のオリンピックなどのビックイベントが控えています。その影響がどの程度あるかは不明ですが、今後益々のサイバー攻撃の増加が予想されます。その意味では、9.18サイバー攻撃は演習としても活用できますので毎年しっかりと対応していくことが重要になると思います。
たとえ何も無くても情報共有の枠組みやエスカレーションフローの手順などの再確認ができますので、良い機会かと思います。
と、いうことで来年も大規模攻撃は無いかもしれませんが、対策準備のひとつとして対応しては如何でしょうか。

9.18のサイバー攻撃に関して（追記）

2014年09月16日20:00

hiroki_iwa1

オフィシャルコメント

by：岩井博樹

先週末あたりから、毎年恒例の9月18日に関する攻撃を確認しています。
覚えの無いコンテンツなどがアップロードされていませんでしょうか。
＃スクリーンショットの記載内容からすると、フライングの気もしますが・・・

現在のところ、確認されている幾つかのウェブサイトにおいては、Joomla! の既知の脆弱性が悪用されているように見受けられます。
また、攻撃対象に関してですが、特定のウェブサイトというよりは手当たり次第に改竄を行っている模様です。
＃DoS攻撃に関しては未確認です。

昨年は国内外において複数のウェブサイトが改竄が確認されましたが、その多くは攻撃対象リストに掲載されたウェブサイトでは無く、不特定多数に対してでした。今年も同様の傾向ではないかと考えています。

なお、攻撃グループにより攻撃手口は異なりますので、ウェブアプリケーションの他にFTPやSSHなども注意が必要です。併せて、自社サイトの検索エンジンによる検索結果に表示されてはマズい情報が無いか、などチェックされることをお勧めします。

ではでは、また何か動きがありましたら補足させて頂こうと思います。

【追記】
18日になりまして、一部の攻撃者グループが日本国内の複数ウェブサイトを改竄したことが確認されています。
現在も攻撃継続中のようですので、引き続きご注意ください。

9.18のサイバー攻撃に関しての補足的情報（追記）

2013年09月17日13:59

hiroki_iwa1

オフィシャルコメント

by：岩井博樹

恒例の918サイバー攻撃の時期が近づいていますが、対策は万全でしょうか。
概要はニュースなどで報道されていますので、内容は割愛させて頂きます。

さて、報道にもありましたように9/18に向け、今年も紅客（ほんくー：中国のハクティビズムのグループの総称）らより攻撃の標的リストが公表されています。
しかし、残念ながら必ずしもこれらのリスト通りに攻撃が行われるわけではありません。
一部の攻撃者らはGoogleなどの検索エンジンを利用することで、標的を絞っています。つまり、攻撃者らの検索結果として表示されたウェブサイトは攻撃対象となる可能性がある、ということになります。
そういった意味では、リストに記載されていない組織においても警戒をしておくに越したことはない、と言えます。

では、攻撃者はどのような文字列を検索し、標的を絞っているのでしょうか。
例えば、ある紅客はSQLインジェクションの標的を絞り込むために、次のような文字列を利用しています。

site:.jp inurl:php?id= site:.jp inurl:asp?id=

結構、大雑把に検索していることが分かります。とりあえず、リスト化して攻撃しようということなのでしょう。
このような検索文字列に関しての情報は、9月に入り日本への攻撃を示唆する内容と共に複数確認されています。
他の検索文字列として次のものが紹介されています。（9/18の攻撃と直接関連するかは分かりませんが、、、）

※「inlitle:」は「intitle:」のtypoかと思われます。

他にも様々な検索文字列により検索されることが推測され、多くのウェブサイトが攻撃対象となる可能性があります。そういった意味では、これらの検索結果に、自身のウェブサイト上の脆弱点が表示されていないか、など事前に確認しておくことは攻撃対象から逃れる点では、有効な対応策の１つと言えます。

ちなみに、これらの検索結果にはWordpressなどのCMSの情報も含まれています。メジャーなCMSは脆弱性も多く報告されていることから、標的となる可能性が高いと考えられますため、確実に対策を実施してください。
※WordpressやMovable Typeに関してはIPAからも注意喚起がされていますので参照ください。
http://www.ipa.go.jp/security/topics/alert20130913.html

尚、Google Hackingはキャッシュから調査しています。そのため、標的の絞り込みの段階でウェブサーバに対して明らかに攻撃と判断できる通信は発生しません。

実際に日本組織を狙った大規模なサイバー攻撃があるかは分かりません。しかし、毎年恒例のことですので、避難訓練のつもりでエスカレーション・チェックなどを実施しても良いかと思います。
現在のところ、DDoS攻撃や多数のウェブサイト改竄などの目立った動きが報告されていませんが、目立った情報が得られましたら随時追記していきたいと思います。

【追記 9/18】
複数のウェブ改竄が確認され始めました。
ウェブサーバのコンテンツに日本を挑発するようなファイルがありましたら、侵入されている可能性大です。
例えば、Fuck-JP.html などです。
念のため、不審なコンテンツが追加されていないか確認されることを推奨します。

ちなみに、記載されている内容は満州事変とは直接関係のあるものではありません。