ファイアウォールのログ分析 – 攻撃するプロトコルは、DNS、SIP、SMB、Web

貸出ファイアウォールのログ分析結果。
ニュース – パロアルト、国内404社のサイバー攻撃の実態を報告:ITpro

 次世代ファイアウォールを手がけるパロアルトネットワークスは2014年6月19日、国内企業404社のネットワークを監視して分かったサイバー攻撃の実態について説明した
 :
 マルウエアの行動ログから分かるマルウエアの活動方法(利用するネットワークプロトコル)は、Webアクセス(HTTP)がログの55%、SSL(HTTPSなど)がログの28%、DNSがログの4%を占める。
 :
 一方で、全世界で見ると、未知のUDPプロトコルがマルウエア行動ログの98.7%を占めている。これは、具体的には「ZeroAccess」と呼ぶマルウエアの行動ログを指しているという。国内ではZeroAccessの痕跡(未知のUDP通信)はほとんど見られないが、注意が必要とした。なお、ZeroAccessはP2P型の分散コンピューティングでボットネットを形成する。このボットは、Bitcoinの発掘にCPU処理能力を提供したり、クリック報酬型広告を不正にクリックしたりといった用途に使われる。
 :
 エクスプロイト(脆弱性を突く攻撃)ログでは、わずか10種類のアプリケーション(ネットワークプロトコル)がログの96%を占めた。上位から、DNSが21%、SIP(IP電話)が21%、SMB(ファイル共有)が17%、Webアクセスが17%、などである。脆弱性攻撃の主な手法は、パスワードの総当り攻撃という。1位のDNSについては、DNSの再帰的な問合せを使ったDDoS攻撃も一般的であるとした。

攻撃プロトコルがDNSはともかくとして、SIPやSMBが上位なのか。

“ファイアウォールのログ分析 – 攻撃するプロトコルは、DNS、SIP、SMB、Web” の続きを読む