[調査・レポート]

2017年12月19日(火)日川 佳三（IT Leaders編集部）

リスト

写真1：アカマイ・テクノロジーズ プロダクト・マーケティング・マネージャーの中西一博氏
拡大画像表示

　アカマイ・テクノロジーズは、2017年第3四半期から始めた新たな調査として、ボットによるパスワードリスト型のログイン試行の規模について調べた。

　米Akamai Technologiesのサービスを利用している45社のWebサイトで観測したところ、約6億件（5億9177万4594件）のログイン試行のうち、約4億件（3億9392万4296件）がボットによる不正なログイン試行だったという。人間によるログイン試行を上回る66.5％がボットによって行われている。

　パケットを一斉に送りつけてサービスを停止に追い込むDDoS攻撃については、これまでと比べて攻撃の規模が増えていることが分かった。2017年Q3で最大規模のDDoS攻撃は、LinuxベースのIoTデバイスを狙ったマルウェアである「Mirai」によるボットネットによるもので、109Gビット／秒、15Mパケット／秒を記録した。

Miraiボットネットのライフサイクルは3日～1週間

　Miraiボットネットについては、2017年Q3から始めた新たな調査として、C＆C（司令塔）サーバーのライフサイクルを調べている。Miraiボットネットのデータから、32日間にわたって12個のC＆Cサーバーについて挙動を分析した。これによると、1つのC＆Cサーバーの存在期間は3日から1週間程度と短いことが分かった。

図1：Miraiボットネットのライフサイクルはせいぜい1週間と短い。必要に応じて、その時生きているクラスタを束ねて攻撃を仕掛ける（出典：アカマイ・テクノロジーズ）
拡大画像表示

　1つのC＆Cサーバーは、管理下にあるMiraiボットネットとともに、せいぜい1週間しか存続していない。こうしたクラスタ（1つのC＆Cサーバーと、その管理下にあるIoTデバイス群）が、現れては消滅する。Miraiボットネットは、1つの巨大なボットネットがあるわけではなく、多数のクラスタに分割して存在しており、必要に応じて束ねられて攻撃に必要なボリュームを形成する。

　なお、企業内に潜んでいるマルウェアやボットが通信しているC＆Cサーバーについても、C＆CサーバーのIPアドレスを素早く切り替えるFast Flux手法について、今回初めて実態を調査した。この結果、DNSを用いたIPアドレスの切り替えを観測したという。この場合、マルウェアはIPアドレスを直接知っているわけではなく、ホスト名からその都度C＆CサーバーのIPアドレスを調べている。