警察庁、「リフレクション攻撃」注意喚起
インターネット定点観測システムにおいて宛先ポート80/TCPに対する複数のサイバー攻撃が確認され、警察庁が注意を呼び掛けている。
1つ目は、ウェブサーバ等で使用される宛先ポート80/TCPに対し、各国において特定のIPアドレスまたは同ネットワーク内とみられる複数のIPアドレスからSYNパケットが多数検知された。センサー別に検知パケットの確認を行うと発信元は特定の単一IPアドレスからであることが発覚していることから、SYN flood攻撃であること考えられる。
通常、Webサイトを閲覧する場合「3ウェイ・ハンドシェイク」と呼ばれる手順により接続を確立してからデータの送受信を行うが、本件は同手順を悪用し、送信元IPアドレスを偽装してSYNパケットを多数のウェブサーバ等の機器に送信し、SYNパケットを受け取った当該機器は踏み台となり、攻撃対象の正常動作を妨害する「SYN/ACK リフレクター攻撃」あると考えられる。なお、SYN/ACK リフレクター攻撃は踏み台となった機器も、SYN Flood 攻撃への対策が不十分であった場合、サービス不能状態になる可能性があるため、DDos攻撃対策サービスの利用及びSYN Flood攻撃に対応した OS やネットワーク IDS 製品の導入、ファイアウォール等による外部からの不必要なアクセスを遮断するなど対策を実施するよう呼び掛けている。
2つ目は、同観測システムにおいて外部から利用可能な HTTP プロキシの捜索行為と考えられるアクセスの増加が確認された。発信元IPアドレスの匿名化が特徴で外部から利用可能であるオープンプロキシは攻撃者の踏み台になる可能性があり、メールの不正中継やマルウェアの通信等に悪用されるため、外部からのアクセス制限を行うこと、また外部に公開しないサービスはインターネット通信から遮断をすること、使用製品についてはアップデートを実施するよう注意を呼び掛けている。
3つ目は、AVTECH社製ネットワークカメラ等に存在する脆弱性を標的としたアクセスが確認された。確認されたアクセスは不正プログラムに感染させる実行ファイルをダウンロードさせることから、感染拡大を目的としている可能性が高く、また発信元の調査の結果Mirai ボットの亜種であること考えられる。
当該利用者に対し、ファームウェアのアップデート及び初期設定のユーザ名・パスワードの変更などの対策をするよう注意を呼び掛けている。
