ID INFORMATION DEVELOPMENT
お問い合わせ
ソリューション トップ
ITコンサルティング
ITインフラ
アプリケーション開発
セキュリティ製品
セキュリティサービス
AI
IT管理ツール導入
マネージドサービス(運用・保守)
研修サービス
業務改革
ID社の研修サービス
ITIL® 研修,試験
ITIL4ファンデーション ITIL4ファンデーションブリッジ ITIL4スペシャリスト プラクティス認定シリーズ MSF New ITIL4スペシャリスト プラクティス認定シリーズ PIC New ITIL4スペシャリスト プラクティス認定シリーズ CAI ITIL4スペシャリスト CDS ITIL4スペシャリスト DSV ITIL4スペシャリスト HVIT ITIL4ストラテジスト DPI ITIL4リーダー DITS
eラーニング
ITIL4ファンデーション eラーニング
SIAM™ 研修,試験
SIAM™ファンデーション SIAM™プロフェッショナル
DevOps Institute 研修,試験
DevOps Institute DevOps ファンデーション DevOps Institute SRE ファンデーション
AIファンデーション 研修,試験
AIリテラシー教育研修
クラウド コンピューティング ファンデーション 研修,試験
運用基礎研修
ISO/IEC20000 研修,試験
カスタマイズ研修
一社研修のお客様
研修スケジュール
試験バウチャーのみのご購入
再試験のお申し込み(弊社研修を受講された方)
研修会場へのアクセス
導入事例 トップ
サイバーセキュリティ
AI
マネージドサービス(運用・保守)
システム環境構築
業務改革
セミナー
コラム
お役立ち資料ダウンロード
会社情報 トップ
会社概要
社長からのごあいさつ
沿革
経営理念
役員一覧
コーポレートガバナンス
フェロー紹介
電子公告
IDグループ トップ
株式会社IDホールディングス
株式会社 プライド
愛ファクトリー株式会社
ID武漢
IDシンガポール
IDアメリカ
IDヨーロッパ

KNOWLEDGE - COLUMN ナレッジ - コラム

【エバンジェリスト・ボイス】LinuxサーバーをターゲットにしたMirai亜種

2019-01-30

エバンジェリスト・ボイス

サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一     uchiyamafacephoto_159x159

こんにちは。CSS部 エバンジェリストの内山です。

先日、自宅で第94回天皇杯 全日本バスケットボール決勝をTV観戦しました。
B.LEAGUE 東地区でも首位を争う、千葉ジェッツ VS 栃木ブレックスの対戦という屈指の好カードです。(私は栃木ブレックスを応援していました!)
決勝は第4クォーター終了(トータル40分間)でも決着がつかず、延長戦にもつれ込む白熱の展開。
栃木ブレックスに逆転された直後の残り3秒、1点ビハインドの千葉ジェッツ富樫選手の3ポイントシュートがネットに吸い込まれた瞬間、しびれましたね。
この日、富樫選手は栃木ブレックスのハードなディフェンスで延長に入るまで無得点に封じ込められていましたが、最後に優勝を手繰り寄せる逆転の3ポイントシュート。
富樫選手曰く、「目の前が空いたので思いきり打った」ということですが、残り3秒で1点ビハインドの中、ポイントガード(サッカーでいうMF的なポジション)としてシュート確率の高い他の選手を使うのではなく、瞬時に自らシュートを打って試合を決める判断をする、まさに「勝者のメンタリティ」を持ったプレイヤーだなぁと感動しました。

私も「勝者のメンタリティ」を持てるよう、日々、精進していこうと思います。

さて、ここからが本題です。
今回のエントリーですが、ハニーポットのデータを眺めていて気になった通信を取り上げたいと思います。
そのまえに、セキュリティに関して興味をお持ちの方でしたらご存知かと思いますが、まずは簡単にハニーポットに関してご説明したいと思います。
ハニーポットとは、意図的にセキュリティ上の問題を残したサーバーをインターネット上に公開し、攻撃者による不正アクセスやマルウェア感染の試みを観測することで、セキュリティ対策に役立たせることを目的にしたシステムです。
ハニーポットは大きく分けて以下の2つに分類されます。

【高対話型】
 ・脆弱性が存在するサーバやアプリケーションを構築し攻撃を観察
 ・収集できる情報が多い
 ・侵入時の被害拡大の可能性を考慮した運用が必要

【低対話型】
 ・脆弱性が存在する環境をエミュレートし攻撃を観察
 ・収集情報に限りがある
 ・動作が限定的であるため運用が容易

ちなみに弊社では低対話型のハニーポットを運用しております。
インターネットの片隅にあるハニーポットではありますが、Apache Struts2 の脆弱性(CVE-2017-5638/S2-045)やOracle Weblogic Server の脆弱性(CVE-2017-10271)、Mirai亜種の感染活動等、様々なインターネット上の脅威を身近に感じさせてくれます。 [1]
弊社のハニーポットのみで、インターネット上の脅威の概観を把握できるものではありませんが、広範囲にわたる調査通信や不正アクセスの試み等は観測できているかな、と感じております。

本エントリーでは、昨年9月下旬より観測され10月以降に急激に増加した8088/tcp宛の通信を取り上げたいと思います。
下図Figure-1のとおり、昨年は恒常的に1日あたり約3000~7000件の通信を検知し、今年に入ってからも約2000件/日で推移しています。
攻撃の送信元はアメリカが7割、ドイツ・カナダ・オランダ・ギリシャ・イタリア等で残り3割といった割合です。


Figure-1_8088tcp宛のイベント検知傾向_1121x581






Figure-2_8088tcp宛のイベント内容_1526x851

Figure-2 8088/tcp 宛のイベント内容

そこで私が普段よりお世話になっている CyberChef の登場です。 [2]
本筋から逸れてしまいますので簡単なご紹介に留めますが、 CyberChef Base64 URL のエンコード / デコード、 16 進数変換の処理を行ってくれる便利な Web アプリケーションです。
CyberChef を使って 16 進数文字列からペイロードに戻した結果は Figure-3 のとおりです。

Figure-3_CyberChefによる16進数変換_1351x684

CyberChef 16

16



payload_703x148


この通信はどのような脆弱性を悪用する試みのものなのでしょう。
調査をしてみたところ、 Hadoop YARN ResourceManager のコード実行可能な脆弱性のようです。
Hadoop とは大規模データの蓄積・分析を分散処理技術によって実現するオープンソースで、 Hadoop クラスタのリソース管理やジョブスケジューリングを担当するコンポーネントは、 YARN(Yet Another Resource Negotiator) と言います。
この YARN はマスタースレーブ型で構成されており、マスターの役割を担うのが ResourceManager です。
ここで改めて先ほどのペイロードを見てみますと、 "Content-Length" "0" ですから、弊社ハニーポットへの通信はこの ResourceManager の脆弱性を悪用するための調査通信と考えられます。
Exploit コードは公開されています [3] ので、攻撃者が悪用しても何ら不思議はないですよね。

次に気になるのは、この調査通信は攻撃者がどのような意図をもって行っているかということですね。
米セキュリティ企業の Arbor Networks が「 Mirai: Not Just For IoT Anymore [4] と題したブログを公開しています。
こちらの内容が本エントリーでお伝えした 8088/tcp 宛の通信に関するものと思われますので、簡易ではありますが概略をご紹介いたします。

Arbor Networks が公表した情報によると、 IoT デバイスではなく Linux サーバーをターゲットにした Mirai 亜種を観測しているとのことです。
確認された Mirai 亜種は、 x86 系の Linux サーバーに特化したもので、 IoT デバイスのように複数の CPU アーキテクチャ (x86 x64 ARM MIPS ARC など ) を考慮する必要がないため、 x86 系に限定することでよりシンプルな作りになっているそうです。
また、ボットネットを利用した拡散ではなく、少数の攻撃者がカスタムツールを使って Hadoop YARN ResourceManager の脆弱性を悪用し Mirai 亜種の感染を試みていることが分かっています。

データーセンター内にある Linux サーバーは、 IoT デバイスと比較してコンピューティングリソースがあり、なおかつ広帯域のネットワークが利用できる状況にあるため、従来のような IoT デバイスをターゲットにした Mirai 亜種よりも、少ない台数で効率的に大規模な DDoS 攻撃を実施できる可能性があります。
このような攻撃手法の変更が、攻撃者によって有効と判断されるとしたら、多くの IoT デバイス同様、インターネット上にはパッチが適用されていない Linux サーバーが存在していますので、攻撃者にとって悪用しやすい脆弱性の存在は脅威といえるでしょう。

8088/tcp 宛の通信については、引き続き注視していきます。
何かしら検知傾向に変化等の動きがありましたら、このコラムを通じお知らせしたいと思います。

最後に、今年度も第 4 クォーターの序盤が過ぎようとしています。
冒頭のバスケットボール(他のプロスポーツも含めて)に限ったことではありませんが、何事も諦めてしまった時点でおしまいですよね。
新年度、高い志を持ち社会へ飛び込んだ新社会人の方、新たな環境で「今年こそは」と心機一転スタートされた方も、ポジションもミッションも様々だと思いますが、「プロの矜持」をもって、最後まであきらめずに走り抜けたいものです。

本年も「セキュリティ」という切り口で皆さまのお役に立てる情報を目指して発信してまいります。
このコラムをとおして皆さまの迷いや悩みの解決の一助、そして新たな気づきを与えられることができましたら幸いです。

それでは、次のエントリーでお会いしましょう!



■脚注および参考情報■

[1] これらの脆弱性に関する JPCERT/CC IPA から注意喚起
  Apache Struts 2 の脆弱性 (S2-045) に関する注意喚起
  https://www.jpcert.or.jp/at/2017/at170009.html

  Apache Struts2 の脆弱性対策について (CVE-2017-5638)(S2-045)(S2-046)
  https://www.ipa.go.jp/security/ciadr/vul/20170308-struts.html

  Oracle WebLogic Server の脆弱性 (CVE-2017-10271) に関する注意喚起
  https://www.jpcert.or.jp/at/2018/at180004.html

   Oracle WebLogic Server の脆弱性( CVE-2017-10271 )を悪用する攻撃事例について
   https://www.ipa.go.jp/security/ciadr/vul/20180115_WebLogicServer.html

[2] CyberChef
  https://gchq.github.io/CyberChef/

[3] Hadoop YARN ResourceManager Unauthenticated Command Execution
  https://www.rapid7.com/db/modules/exploit/linux/http/hadoop_unauth_exec

[4] Mirai: Not Just For IoT Anymore
  https://asert.arbornetworks.com/mirai-not-just-for-iot-anymore/

当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。

エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。

メルマガ登録ボタン

内山 史一

株式会社インフォメーション・ディベロプメント 先端技術部 エバンジェリスト

この執筆者の記事一覧

関連するナレッジ・コラム

垂直農業の革新と課題~持続可能な農業の鍵

2025-03-06

エバンジェリスト・ボイス ITニュース

デジタル詐欺の最前線 ~感情と財産を狙うその手法と防衛策とは

2025-02-06

エバンジェリスト・ボイス ITニュース

Waymoが日本進出 ~自動運転の未来と可能性

2025-01-16

エバンジェリスト・ボイス ITニュース

CATEGORY

カテゴリー

RANKING

人気記事ランキング

  1. 使える!データ収集術「ウェブスクレイピング」を伝授します

    2022/11/10 9:00

  2. 生成AIのトレンド「LLM+RAG」を解説

    2024/2/29 9:00

  3. NuitkaでPythonプログラムを配布してみよう

    2022/12/15 9:00

  4. Waymoが日本進出 ~自動運転の未来と可能性

    2025/1/16 9:00

  5. 今日から使えるLLMのプロンプトテクニック

    2023/12/14 9:00