Criminal IPで分析した約8,900件のLog4j攻撃IPアドレス
AI Speraの脅威インテリジェンスプラットフォーム「Criminal IP」
AI Speraがサイバー脅威インテリジェンスプラットフォームである「Criminal IP」(クリミナルアイピー)を通じて収集されたLog4j(Log4Shell)脆弱性(CVE-2021-44228)を利用した攻撃ログ約8千900件を検知、分析したデータを公開しました。
AI Speraは、Log4jの脆弱性を狙った攻撃の対応のため、労苦の多いセキュリティ関係者のためにCriminal IPから収集した攻撃IPアドレスを毎日更新し、無料で提供しています。support@aispera.comでお問い合わせいただいて最新のデータを配信していますので、機関や企業では早急にデータを確保し、Log4jの脆弱性の対応に活用してください。
次の内容は、Log4jの攻撃を行うIPアドレスに対してAI SperaのIPインテリジェンスシステムであるCriminal IPに収集された内容に基づき、12月14日から5日間(14日、18日、20日、21日、22日)のデータを分析した結果です。
Log4j脆弱性の攻撃統計
一意のIPアドレスは合計381件ですが、特にこれらのIPアドレスのうち、107件のIPアドレスが繰り返し攻撃を続けていることが確認されました。つまり、休まずに攻撃を行うIPアドレスは、自動化された攻撃スクリプトが戻るサーバーであると予想され、Log4j関連サービスを使用する企業の立場では、このようなIPアドレスは事前にブロックしておくことをお勧めします。
国の統計
国の統計を見ると、合計381件のうち、固有の国は合計39カ所で、特にアメリカ、ドイツ、中国が上位3カ国を占めており、上位5カ国が全体の割合の84%を占めています。ほとんどの人が危険な国のIPで認知している中国もやはりランキング内に含まれており、また一般的にも攻撃スキャナIPとして多く使われている国であるアメリカも最も多い割合を占めています。
Tor IP
また、攻撃IPアドレスのうち、Tor IPアドレスの割合が含まれていることを確認することができました。ダークウェブで有名になったTorはブラウザで使用されるほか、PythonやC#、Go言語などのスクリプトやAPIも提供しており、ハッカーが攻撃を行うためにコードにTorをつけてスキャンすることが多く存在します。今回のLog4j攻撃に使用されたIPアドレスのうち、実際のTor IPアドレスを使用したケースを確認することができました。このように攻撃にTor IPアドレスを使用することが多いため、Tor IPアドレスに入ってくるインバウンドIPアドレスも事前にブロックしておくことをお勧めします。
Torで使用されていると表示されている。
ハッカーに限って攻撃をするわけではありません
以下は、IPアドレスの所有者として期待できるASN NameとOrg Nameの統計です。最も多くの攻撃IPアドレスを持つアメリカのASN Nameを見ると、ほとんどの場合はホスティング会社であるか、ISP企業で、攻撃を行うためにクラウドサーバーやホスティングサーバーを用意してスキャンしていることを推測できます。特にデジタルオーシャン(DigitalOcean)社のサーバーが多く見られるが、過去にはAWSなどのクラウドサーバーでハッキングの試みが頻繁な方だという認識があったが、最近はそのような傾向が大きく減少して、他のホスティングサーバーの名がより多く上がっている傾向が見られます。
ホスティング会社でない場合、マサチューセッツ工科大学(Massachusetts Institute of Technology)でも攻撃が行ったが、これは学校の寮で学生が好奇心を持って行ったこともあり、マサチューセッツ工科大学内の研究室で研究・セキュリティ目的のテストである可能性も存在します。攻撃 IP アドレスの ASN Name と Org name を見てみると、後者のケースである可能性が高くなります。 ORG Nameを見ると、Computer Science and Artificial Intelligence Labで大学内の研究室のIPアドレスであるところも発見され、組織名がMark Silisのマサチューセッツ工科大学のVice President for Information Systems and TechnologyであるIPアドレスも確認されました。さらに、セキュリティテストの会社であるESecurityのIPアドレスまで確認できました。このように攻撃IPアドレスがすべてハッカーの行為だと必ず疑い難いのは、サイバーセキュリティを専攻したり研究する機関でのスキャンも発見されているからです。
攻撃パケットの多様化
攻撃パケットを確認したところ、さまざまなパターンが見つかりました。初期攻撃フォームは以下の通りで、通常User-Agentに値を入れて渡しますが、実際には一次元的なスキャンの実行方法であり、方法が単純なほどこれを検出するパターンやシグネチャが早い時間で配布されてすぐにブロックされます。したがって、多くの攻撃者がこれを迂回した方法で攻撃を行っています。
バイパス方式でよく使われているパケットの形は次のとおりです。IDS・IPSシグネチャの生成に参考になると思われます。
IPインテリジェンスでの確認
最後に、Criminal IPでは、世界中のすべてのIPアドレスに対する危険レベルを5段階のスコアリングに分類し(Safe、Low、Moderate、Dangerous、Critical)、Log4jへの攻撃IPアドレスとして収集されたIPアドレスの危険レベルを確認したところ、全体の87.1%がDangerous・Criticalで分類されていることがわかりました。つまり、log4j攻撃を実行しているIPアドレスの87.1%は、すでに他の機関を攻撃した履歴があるか、悪意のある行為に使用されたIPアドレスが継続的に攻撃に使われていることを予想できます。このようにCriminal IPのインテリジェンスシステムを使用して危険IPアドレスに関する情報を受け取り、インバウンドIPアドレスを事前にブロックしておくと、Log4jへの攻撃を軽減するのに大きな助けを得ることができます。
「攻撃IPアドレスを事前に入手し、ブロックすれば、ハッカーのスキャン攻撃を軽減させることができる」
log4j攻撃がさらに公論化され、攻撃者と攻撃方法の多様性が増えていることがわかります。特にIDS・IPSシグネチャを避けるために、ハッカーは新しい攻撃パケットを組み立てて送信します。したがって、攻撃IPアドレスを事前に入手し、ブロックする場合、ハッカーのスキャン攻撃を軽減させることができます。また、Tor IPアドレスも攻撃の迂回に使用されるため、Tor IPアドレスもブロックすると、攻撃対応に多くの助けを受けることができます。
また、IPインテリジェンスシステムを利用し、IPアドレスのブロックをしておけば、IPアドレスを新たに収集することなく、ハッカーがIPアドレスを変えてスキャンするたびに自動で対応できるため、ダイナミックな対応が可能です。本来はIPアドレスが変化し続けるためIDS・IPSシグネチャで対応をすることが知られているが、最近は攻撃パケットが継続的に変形するにつれて再びIPアドレスをブロックの対応方式に戻る動きがあり、攻撃に使用できるIPアドレスをあらかじめ取得するIPインテリジェンスを利用し、IPアドレスを前もってブロックする、一つのセキュリティプロセスの回帰作業です。
さらに、ASN NameやOrg Nameを確認し、テスト・セキュリティチェックなどのために攻撃を試みる場合も存在していることがわかります。この場合は必ずブロックする必要のないIPアドレスですが、模擬攻撃でも会社の内部資産に攻撃されることが危険だと判断された場合、スキャンを行う機関に連絡し、スキャンから除外してもらうよう要求する方法もあります。
また、IPインテリジェンスでASN NameやOrg Nameを確認し、クラウドサーバーやホスティングサーバーではなく、メーカー、医療施設などサイバーセキュリティと関係のない一般企業から攻撃パケットを送信することが発見された場合、そのスキャンは研究目的のスキャンではなく、実際、その企業のサーバーがハッキングを受けた後、ハッカーに利用されている可能性が大きいため、国家機関や政府機関、捜査機関などでは、こうした機関が攻撃を行っているかを継続的にチェックする必要があります。