身代金を要求するサイバー攻撃の中で、ランサムウェアによる被害が世界中で拡大しています。

ランサムウェアの他に、DDoS攻撃の停止と引き換えに金銭を要求するランサムDDoS攻撃が存在します。

2017年9月に日本国内にて、このランサムDDoSと思われる攻撃が確認されました。

今回は、このランサムDDoS攻撃の概要と対策についてご報告いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起：ランサム DDoS 攻撃に対する事前対策について

1.概要

　インターネット上のウェブサイトには一般的な検索エンジンでは到達できない、Deep web や Dark web と呼ばれるウェブペー ジが存在します。このような深層インターネットの闇市場ではサイバー攻撃の代行サービス(CaaS: Cybercrime-as-aService)やツールが取引されており、サイバー攻撃が頻発する要因の一つになっています。サイバー攻撃のうち、金銭要求を伴う ものをサイバー脅迫といい、最近では「Wanna Cryptor」に代表されるランサム（身代金）ウェアが有名です。ランサムウェアのほ かにも DDoS 攻撃の停止と引き換えに金銭を要求するランサム DDoS 攻撃（RDoS: Ransom DDoS）が存在します。
 
　2017 年 9 月、日本国内において、DDoS 攻撃の停止と引き換えに金銭を要求するメールが多数配信されていることが確認 されました。このメールとの因果関係は不明ですが、同じタイミングで DDoS 攻撃が発生したことも確認されております。 今やウェブサイトは企業戦略において重要な「チャネル」「ツール」「メディア」として位置づけられており、そのサービス停止は企業 活動に大きな影響を与えます。DDoS 攻撃への対応体制を点検するとともに、自身のサーバやルータが踏み台として使用されな いようにご注意ください。

2. ランサム DDoS攻撃とは

　ランサム DDoS 攻撃とは DDoS 攻撃の停止と引き換えに金銭を要求するサイバー攻撃の一つです。まずは小規模な DDoS 攻撃を仕掛け、攻撃能力を誇示した上で脅迫メールを送信するシナリオが一般的です。ただし、過去に DDoS 攻撃を行った犯 行グループを名乗り、脅迫メールを送信するだけで金銭を窃取した事例もあり、このシナリオの限りではありません。
　⑴ ランサム DDoS 攻撃の典型的なシナリオ
　　① 標的のウェブサイトに対して短期間の DDoS 攻撃をおこなう。

　　② 脅迫メールを送信する。

　　③ 要求に従わない場合、大規模な攻撃をおこなう。
　⑵ ランサム DDoS 攻撃による被害例
　　ランサム DDoS 攻撃による被害は身代金支払いによる直接的被害だけではありません。サービス停止が企業活動に大きく影 響する場合は例えば株価の下落を招く場合もあります。また DDoS攻撃を受けた企業がホスティング事業者から解約された事例 もあります。身代金を支払っても攻撃が停止される保証はなく、更なる攻撃と身代金要求につながる可能性もあります。

　(3)脅迫メールの本文例

　　下記のメールでは攻撃停止の見返りにビットコインの送金を要求しています。

「Armada Collective」からの脅迫メールのイメージ（出所：JPCERTコーディネーションセンター）

3.  SecureSoft Sniper ONEによるDDoS対策

DDoS対策のポイントは、攻撃通信を検知・防御しつつ正規ユーザに対するサービスの品質を維持するところにあります。これを実現するSecureSoft Sniper ONEを使用したDDoS対策をご紹介します。

(1)SecureSoft Sniper ONEとは

　SecureSoft Sniper ONEは、従来それぞれ専用機として提供していたセキュリティ機器の機能をオプション化し、1台で高度な検知・防御機能を実現する製品です。必要なオプションを選択することで、スモールスタートが可能になり、コスト削減につながります。また、導入後の機能追加も可能なため、ビジネスの変化・拡大に合わせた対策が可能です。

(2) DDoS対策概要

　SecureSoft Sniper ONE に Anti-DDoSオプション、もしくはRate Limitオプションを追加することで、DDoS攻撃から大切な情報資産を防御します。

図 1　Sniper ONE のコンセプト

図 2　Sniper ONE によるDDoS攻撃防御イメージ（Anti-DDoSオプション使用時）

(3)  Sniper ONE Anti-DDoSオプションとは

　Sniper ONE Anti-DDoSオプションはDDoS攻撃対策に特化した8つの解析エンジンにより、正規ユーザ向けのサービスを維持しながら、DDoS攻撃を効果的に防御します。Anti-DDoSオプションはDDoS対策の専用製品であるSecureSoft Sniper DDXベースに更に進化させモジュール化しました。独自機能Triple 'S'（Smart Session Shaping) EngineによるセッションのコントロールやDDoS攻撃の通信を分析しシグネチャ化するSEE（Signature Extraction Engine）など、DDoS攻撃を効果的に抑制し、お客様にサービスの安定稼働をお約束します。

図 3 Sniper ONE Anti-DDoSオプションの解析エンジン

Anti-DDoSオプションによるDDoS攻撃対策は以下のニュースリリースでも解説しております。   参考情報（セキュアソフト ニュースリリース 『Sniper ONEによるDoS/DDoS攻撃対策例のご案内』） http://juliett.iddemo.site/news_mt/2015/08/sniper-onedosddos/

(4)Sniper ONE Rate Limitオプションとは

Sniper ONEによるより効果的なDDoS攻撃対策としては、 Anti-DDoSオプションに加えてRate Limitオプションを追加する方法がございます。本オプションは帯域制御によるサーバの保護に有効なオプションです。大量のトラフィックを効果的に制限するため、DDoS攻撃だけではなく、ユーザの増加やヘビーユーザの利用によってネットワークリソースが枯渇することを防ぐこともできます。

図 4 Sniper ONE Rate Limit Engine

Rate LimitオプションによるDDoS攻撃対策は以下のニュースリリースでも解説しております。

参考情報（セキュアソフト ニュースリリース 『SecureSoft Sniper ONE の特徴 ：Rate Limit 機能』）

http://juliett.iddemo.site/news_mt/2015/12/securesoft-sniper-one-rate-limit/

1.     SecureSoft Sniper ONEによるDDoS対策

DDoS対策のポイントは、攻撃通信を検知・防御しつつ正規ユーザに対するサービスの品質を維持するところにあります。これを実現するSecureSoft Sniper ONEを使用したDDoS対策をご紹介します。

⑴     SecureSoft Sniper ONEとは

SecureSoft Sniper ONEは、従来それぞれ専用機として提供していたセキュリティ機器の機能をオプション化し、1台で高度な検知・防御機能を実現する製品です。

必要なオプションを選択することで、スモールスタートが可能になり、コスト削減につながります。また、導入後の機能追加も可能なため、ビジネスの変化・拡大に合わせた対策が可能です。

⑵     DDoS対策概要

SecureSoft Sniper ONE に Anti-DDoSオプション、もしくはRate Limitオプションを追加することで、DDoS攻撃から大切な情報資産を防御します。

「mamoret BE」のリリースに伴い、製品ページを追加しました。

｢mamoret BE」製品ページ

https://www.securesoft.co.jp/products/mamoret-be/

本製品に関するお問い合わせはこちらよりお願いいたします。

弊社は、ウェブブラウザ仮想化ソフトである「SecureSoft mamoret」の企業版として、

「mamoret BE」を2017年11月1日(水)より販売開始いたします。

mamoret BEは1台のPC上でブラウジング専用環境を生成し、一般業務を行うローカル環境と分離することで

マルウェアからPCを守る製品です。ウェブブラウザの仮想化に特化したmamoretの機能に加え、

企業内ネットワークへのマルウェア拡散を防止するネットワーク制御機能や、サーバ利用による

ポリシーの一元管理機能などが追加されています。

 本日「mamoret BE」のプレスリリースをいたしましたので、是非ご覧頂きますようお願い申し上げます。

また、下記のURLよりプレスリリースの内容もご覧頂けます。

以下の画像をクリックしますと、PDFファイルにてニュースリリースをご覧いただけます。

カタログに関しましては、こちらよりダウンロードいただけます。

一般社団法人JPCERTコーディネーションセンターから、Apache Tomcatに関する脆弱性が発表されました。

今回発表された脆弱性の詳細と対策について、ご報告いたします。

本記事はこちらよりPDFにてご覧頂けます。

注意喚起：Apache Tomcat における脆弱性について

1. 概要

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）から Apache Tomcatに関する脆弱性が発表されました。脆弱性(CVE-2017-12615, CVE-2017-12617)では、攻撃者がリクエストを細工してファイルをサーバにアップロードし、任意のコードを実行される恐れがあります。また、脆弱性(CVE-2017-12616)では、悪意のあるリクエストを受け付けると、ソースコードを攻撃者に閲覧される可能性があります。これらの脆弱性を突く攻撃から情報資産を守るためにも早急に対策を実施する必要があります。

2.     脆弱性詳細情報

　⑴ 説明

　　① CVE-2017-12615, CVE-2017-12617

　　　HTTP PUTメソッドが有効になっており、且つreadonlyパラメータがfalseになっている状態で、攻撃者がHTTPリクエストを細工することによってJSPファイルをサーバにアップロードし、遠隔で任意のコードを実行される可能性があります。尚、CVE-2017-12615はWindowsのみの影響とされていましたが、CVE-2017-12617では、Windows以外のOSでも、脆弱性の影響を受けることが報告されています。

【図1】 CVE-2017-12615 攻撃イメージ図

　　② CVE-2017-12616

           VirtualDirContextを使用している場合、攻撃者によって細工されたリクエストを受け付けると、セキュリティ制限をバイパスされ、JSPソースコードを閲覧される可能性があります。

　⑵ 対象

　　下記バージョンの Apache Tomcat が本脆弱性の影響を受けます。

　　- CVE-2017-12615

　　- Apache Tomcat 7.0.0 から 7.0.79

　　- CVE-2017-12616

　　- Apache Tomcat 7.0.0 から 7.0.80

　　- CVE-2017-12617

　　- Apache Tomcat 7.0.0 から 7.0.81

　⑶ 対策

　　Apache Software Foundation より、修正済みのバージョンが提供されています。

　　- Apache Tomcat 7.0.82

　　※修正済みのバージョンを適用することを推奨いたします。

　⑷ 参考情報

　■Apache Software Foundation ： Fixed in Apache Tomcat 7.0.82

    ■JPCERT/CC ： Apache Tomcat における脆弱性に関する注意喚起　　　　

    ■JVN ：Apache Tomcat の複数の脆弱性に対するアップデート

3. IPSとセキュリティ監視サービスを活用した脆弱性対策

　今回のような、システムの脆弱性を狙った攻撃にはIPS等のセキュリティ製品の設置とセキュリティ監視サービスの導入が効果的です。SecureSoftでは、巧妙化する攻撃に対応可能なIPS(SecureSoft Sniperシリーズ)と、不正イベントを24時間365日監視するサービス(Security O.K Service)を提供しています。

　SecureSoft Sniperシリーズ（以下、Sniper）とは、ネットワークを通過するパケットに対して、様々な角度から詳細な分析を行い、攻撃を検知・遮断する事ができる「防御」のための不正侵入検知・防御システムです。

　Security O.K Service（以下、S.O.S）とは、最新の相関分析システムとセキュリティアナリストによる高度な分析、迅速なインシデント対応、分析結果を記載した月次レポートの提供によりお客様に安心してご利用いただけるセキュリティ監視サービスです。

 　システムの脆弱性が見つかってバージョンアップなどのシステム更新が必要でも早急に対応できない場合に、SniperとS.O.Sを組み合わせた多層防御は有効です。

【図2】 SniperとSecurity O.K Serviceの関連図

　■SecureSoft Sniper シリーズ

　■Security O.K Service

4. Sniperの対策シグネチャ緊急リリース

　Sniperは、今回の脆弱性に対するシグネチャを9月29日付けでリリースいたしました。

今回、リリースしたシグネチャは下記の通りです。

　■CVE-2017-12615, CVE-2017-12616対応

　■CVE-2017-12617対応