[インターネットの現状]/セキュリティキャリア・インサイト・レポート
2 0 1 8 年春
エグゼクティブサマリー
エグゼクティブサマリー/Akamai は世界最大の最も信頼されるクラウド配信プラットフォームです。世界各地に分散している Akamai Intelligent Platform™ を使用して、毎日数兆ものインターネット取引を処理しています。この処理を通じて、ブロー
ドバンド接続、クラウドセキュリティ、メディア配信に関連した指標について莫大な量のデータを収集しています。これらの
データや知見を、企業や政府機関の皆様の戦略的な意思決定にご活用いただけるように、「インターネットの現状」レポート
を作成しました。Akamai が発表する「インターネットの現状」レポートは、これらのデータを基盤とし、ブロードバンド接続
とクラウドセキュリティに重点が置かれています。
「インターネットの現状/セキュリティ:キャリア・インサイトレポート」 2018 年春版は、Akamai グローバルインフラストラ
クチャからの DNS データに焦点を当て、世界各地の多様なチームによる調査結果をまとめたものです。
ビジネスへの影響/今やデータ共有とコラボレーションは、個々の組織にとってもインターネット全体にとっても、健全な運営に欠かせない重要なものとなっています。企業は他の企業とデータを共有するだけでなく、データを意味のあるものにする
ために協力する必要があります。多くの組織にとって、内部でのデータの共有や相関も容易なことではありません。まして他
の組織との間でデータを共有するとなれば、問題ははかり知れないほど複雑になります。
このレポートは、組織間および組織内で情報を共有することによるインテリジェンスの拡大やインターネットの堅牢化に重
点が置かれています。このレポートのゲストオーサー、Megan Stifel 氏(Silicon Harbor Consultants の CEO、National Security Council の元 International Cyber Policy Director)は、システムのセキュリティを確保するためにデータの共有と信頼がいかに重
要であるかを強調しています。
多様なソースからのデータを結合し、その相関関係からインテリジェンスを探り出すことは、セキュリティチームの最も重要
な責任事項といえます。このレポートは、Akamai のレポート能力の進化を表すものであり、また、組織全体からデータとイ
ンテリジェンスを結集することで私たちが直面している脅威をより深く知るという集中的な取り組みの成果でもあります。
Akamai は、各組織がそれぞれの環境を調べ、現在まだ最大限には活用されていないデータストリームやインテリジェンスにつ
いて深く理解することが重要だと考えています。
図 X Mirai C&C の相関関係(2018 年 1 月 23 日 21:00)
0.94
0.97
0.950.99
0.990.93
0.92
0.93
0.94
0.94
0.95
0.95
0.96
0.94
0.97
0.97
0.910.93
0.93
0.92
0.93
0.97
0.97
0.98
0.98
0.98
0.98
0.98 0.98
0.94
0.99
1.00
1.00
ccc.snicker.ir.,1
picesboats.club.,1
0x01.nexusiotsolutions.net.,1
snicker.ir.,1
rootyi.site.,1
nexusaquariums.ir.,1
nullstress.pw.,1
deathlives.ddns.net.,1
suckmyass1983.ddns.net.,1
bigboatzarereppin.hopto.org.,1
編集者による概説/ Akamai のセキュリティ調査チームは、マルウェア、ボットネットを始め、企業や個人を標的として
毎日観察される脅威についての情報を読者に提供するため、
過去 6 か月間に 14 兆を超える DNS クエリーを分析しました。
Loapi ボットネットファミリーはマルウェアの進化により、さ
らに柔軟性が高くなっています。同時に、暗号通貨による市
場力が企業にもマルウェアの作成者にも影響を及ぼしていま
す。Akamai の DNS データを Akamai 内の広範な調査や他の組
織の調査と結合すれば、Mirai ボットネットとその動作をより
深く考察できます。多くの組織に役立てていただけるよう、
Akamai はこの取り組みを継続しています。
時として、脅威は静的で変化も拡大もしないように見えます。
そしてまた、敵が大きく機能を飛躍させたように見えることも
あります。Mirai ボットネットが作成されたときもまさにそう
でした。しかし、これらはどちらも最終的な影響によってもた
らされた幻想にすぎません。脅威は常にゆっくり漸進的に変化
しています。Loapi がモジュール構造に変化したような小さい
変化を理解できなければ、Memcached 脆弱性を悪用した DDoS の急増のように大きな変化を予測することはできません。突然
進化したように見えるのは、裏で生じていることを把握できて
いなかったからです。
14,000,000,000,000の DNS クエリーを分析(6 か月間)
どのような組織も(たとえ Akamai のように地球規模のネット
ワークを持つ組織であっても)、すべてを把握し理解すること
は不可能です。インテリジェンスを結集することで、飛躍的な
進化につながる小さな変化を把握できるのです。
脅威トラッカー/大きな被害をもたらす脅威は未知のものとは限りません。最近のレポート対象期間には、悪意ある活動の
スパイクが 2 回検出されました。最初は 10 月 3 日から 11 月 1 日で、Dorkbot ボットネットのコマンド & コントロールドメイ
ンのトラフィックによるものでした。このボットネットは、マ
ルウェア作成者が開発した新しいドメイン生成アルゴリズムの
仕組みを活用できるように更新されつつあります。
2 回目のスパイクは特定のボットネットによるものではなく、
Web Proxy Auto-Discovery(WPAD)プロトコルの悪用によっ
て引き起こされたドメインルックアップの増大でした。WPAD がインターネットに露出されていると、攻撃者は露出している
システムにプロキシ設定ファイルをダウンロードさせ、中間者
攻撃にオープンな状態を作り出します。
忘れてはならないのは、すべての脅威がグローバルな特性を
持っているわけではないという点です。Akamai は、ローカル
図 9 ボットの割合(クエリーが送信された脅威の種類数別)
図 10 ボットの累積パーセンテージ(脅威の種類数別)
0% 25% 50% 75% 100%
31% 15% 40% 13%
図 11 上位 500 ボットにおける脅威別パーセンテージ
0%
20%
40%
60%
80%
MALWARE CALL HOME AUTOIT SPYBOT SALITYダウンローダー(各種)ANDROID TROJANS(各種)CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS
0%
25%
50%
75%
100%
9%18%
27%32% 36% 39% 42% 47% 53%
63%76%
87%95% 98% 99% 100%
1 種類 2 種類 3 種類 4 種類 5 種類 6 種類 7 種類 8 種類 9 種類 10 種類 11 種類 12 種類 13 種類 14 種類 15 種類 16 種類
68.4% 68.4% 67.6% 66.2%
46%39.8%
24%19.4%
11.4% 10.2% 7.6%
1~4 種類 5~8 種類 9~12 種類 13~16 種類
当然の成り行きとも言えますが、暗号通貨はマルウェアの新たな標的です。昨年ビットコインの価値は 20,000 ドル近くにまで
上がり、マルウェア作成者も正当なサイトもサーバーでのコインマイニングを模索し始めています。誰かがマルウェアをイン
ストールしてあなたのコンピュータを使用し、マイニングするとしたら、それは明らかに悪いことですが、あなたの CPU サイ
クルを活用する JavaScript が含まれたサイトについてのモラルはまだグレーゾーンです。
コラボレーション/Mirai のようなボットネットはそう頻繁に現れるものではありません。しかし、このボットネットは、セキュリティに可能な最善策は何かを示したという意味でとても重要です。複数の組織が水面下で協力し、このボットネットに
関して最大限の情報を収集、理解し、広めました。これらの組織の多くは、データの「他花受粉」と共有を継続しています。
2017 年第 4 四半期の「インターネットの現状」レポートでは、Credential Abuse やこの領域で使用されるツールのタイプについ
て深く考察しています。ボットネットの DNS リクエストとドメイン解決に着目すれば、このタイプの脅威を新たな観点から捉
えることができます。
レポートの全文は akamai.com/stateo�heinternet-security からダウンロードできます。
な特性が強い脅威を 5 つ追跡しました。これらのボットの中には、地域固有のインフラストラクチャを維持する特定国を標的
とするものもあれば、クラウドサービスに依存しているものもありました。
新たな傾向/マルウェアを使用して金融データを盗むというのは特に目新しいことではありません。少なくとも一部のマルウェア作成者は当然考えそうなことです。ただし、Zeus ファミリーの亜種である Terdot マルウェアは、活動範囲を拡大し、
ソーシャルメディアの認証情報の収集も攻撃キャンペーンに含まれています。このマルウェアはプロキシとして機能するた
め、作成者が望む任意のサイトにユーザーを誘導できます。これにより活動の選択肢が広がります。
一方、Loapi ボットネットはアプローチが異なります。このマルウェアは、モバイルデバイスで動作するように設計されてい
て、当初は DDoS 攻撃を拡大するために使用されていました。しかし、作成者は一芸では満足できなかったようで、モジュー
ルバージョンが登場しました。つまり、新たに発見された脆弱性や、新機能の必要性に応じて、このボットネットを簡単に改
変できるのです。
図 9 ボットの割合(クエリーが送信された脅威の種類数別)
図 10 ボットの累積パーセンテージ(脅威の種類数別)
0% 25% 50% 75% 100%
31% 15% 40% 13%
図 11 上位 500 ボットにおける脅威別パーセンテージ
0%
20%
40%
60%
80%
MALWARE CALL HOME AUTOIT SPYBOT SALITYダウンローダー(各種)ANDROID TROJANS(各種)CONFICKER B PALEVO VIRUT ZERO DAY CLUSTER NECURS
0%
25%
50%
75%
100%
9%18%
27%32% 36% 39% 42% 47% 53%
63%76%
87%95% 98% 99% 100%
1 種類 2 種類 3 種類 4 種類 5 種類 6 種類 7 種類 8 種類 9 種類 10 種類 11 種類 12 種類 13 種類 14 種類 15 種類 16 種類
68.4% 68.4% 67.6% 66.2%
46%39.8%
24%19.4%
11.4% 10.2% 7.6%
1~4 種類 5~8 種類 9~12 種類 13~16 種類
[インターネットの現状]/セキュリティキャリア・インサイト・レポート
2 0 1 8 年春
Akamai について/Akamai は世界で最も信頼された世界最大のクラウド配信プラットフォームを提供しています。 使用するデバイス、時間、場所を問わず、お客様が安全性に優れた最高のデジタル体験を提供できるようにサポートします。
Akamai の大規模な分散型プラットフォームは、世界 130 か国に 20 万台を超えるサーバーを擁する比類のない規模を誇り、 お客様に優れたパフォーマンスと脅威からの保護を提供しています。Akamai のポートフォリオに含まれる、ウェブおよび
モバイルパフォーマンス、クラウドセキュリティ、エンタープライズアクセス、動画配信の各ソリューションは、 卓越した顧客サービスと 24 時間体制の監視によりサポートされています。大手金融機関、EC リーダー企業をはじめ、
メディアおよびエンターテイメントプロバイダー、政府機関が Akamai を信頼する理由について、www.akamai.com/jp/ja/、 blogs.akamai.com/jp/、または Twitter の @Akamai_jp で詳細をご紹介しています。全事業所の連絡先情報は、
www.akamai.com/locations をご覧ください。2018 年 4 月発行。
お問合せ先/
[email protected]:@akamai_soti / @akamai_jp
www.akamai.com/stateo�heinternet-security