7 MUSTANによるダークネット観測事例
太田 耕平
1 MUSTANの概要と特徴
MUSTAN(MUlti Sensor Traffic ANalysis) はインターネット上に配置されたセンサによってインターネットに広がっているアクセスを監視することを目的としている。またアクセス量の変動を元に特に増加・拡散傾向にあるアクセスを自動的に抽出し、要注意情報としている。
アクセス量の変動をその発信元の数による順位の変動で判断することを特徴としており、不正、不必要なアクセスが多数存在するインターネットの状況から「「いつもと違う」部分を見つけ出すことで、実際に狙われている脆弱性を抽出する。
2 2009年上半期の特徴的なアクセス
本報告では2009年前半にMUSTANで観測された以下の特徴的なアクセスについて述べる。
- Port 4899へのアクセス
- Port 1521へのアクセス
- WebアプリケーションRoundCubeへのアクセス
- WebアプリケーションDrupalへのアクセス
- WebアプリケーションHordeへのアクセス
2.1 Port 4899へのアクセス
6月中旬から増加しており、発信元アドレス数でみた順位的にも6位から一時2位まで顕著に上昇(図 1)している。同様の観測状況は米SANSでも言及[1]されているものと同様で、発信元に南米が多い(図 2)のが特徴である。
図 1 2009年6 月のポートに関する上位のアクセス
図 2 Port 4899へのアクセスの発信元
2.2 Port 1521
009年7月に入ってから、じわじわと増加を続けており、7月27日は、観測される中で発信元の数が上位に入った(図 3)ため、警告として抽出された。本ポートに関してはOracle製品に関連する脆弱性[2][3]が報告されている。また、本アクセスはその発信元がアジア圏に集中しているのが特徴である。
図 3 2009年7月のポートに関する上位のアクセス
2.3 Web RoundCube
WebアクセスではオープンソースのWebメールアプリケーション、RoundCubeに対するアクセスが年明けから目立って増加している。人気のあるWebメールアプリケーションであり、国内でも一定の利用があることから、2007年にもJVN(Japan Vulnerability Notes)で脆弱性が報告[4]されていた。今回のアクセスは2008年末までに新たに明らかになった脆弱性[5]を狙ったアクセスの可能性が高く、それが急速に世界的に広がったことを示しているといえる。
図 5は、2009年1月にMUSTANで観測された発信元が多い不正Webアクセス上位の推移を示している。この中で’GET /nonexistenshit’および’GET ....../msgimport’として記録されているものが関連のアクセスとなる。また2009年1月8日からは関連のアクセスである ‘GET /nonexistentshit’アクセスが急増するとともに、’POST /mail/bin/html2text.php’も増加している。これは異なる2種類の脆弱性([6][7]および[8])に対するものであり、それらを狙った集中的な不正アクセスがあいついで発生していることを示している。
図 5 2009年1月のWebに関する上位のアクセス
4月に入ると、さらにバージョン情報を収集するためと思われるアクセスが増加している。
以下に、主な亜種とその登場時期を示す。最初の登場以来徐々にURLパスのバリエーションが増加し、また、脆弱性が報告されているURLへの直接アクセス以外にバージョン情報の取得を目的としていると見られるアクセスが登場していることがわかる。
表 1 Roundcubeに関連する主なアクセスバリエーション
| 最初の検知日 | 攻撃内容 |
|---|---|
| 2009/06/04 | GET /roundcube/README |
| 2009/06/04 | GET /roundcubemail/README |
| 2009/04/30 | GET /roundcube//bin |
| 2009/04/22 | POST /roundcubemail-0.2-alpha/bin/html2text.php |
| 2009/04/22 | POST /roundcubemail-0.2-beta/bin/html2text.php |
| 2009/04/22 | POST /roundcubemail-0.2/bin/html2text.php |
| 2009/04/22 | POST /roundcubemail-0.1-rc1/bin/html2text.php |
| 2009/04/22 | POST /roundcubemail-0.1beta/bin/html2text.php |
| 2009/04/22 | POST /roundcubemail-0.1/bin/html2text.php |
| 2009/04/22 | POST /roundcubemail/bin/html2text.php |
| 2009/04/16 | GET /roundcubemail//bin/msgimport |
| 2009/04/06 | GET /roundcube/skins/default/images/roundcube_logo.png |
| 2009/03/02 | GET /webmail/roundcube/bin/msgimport |
| 2009/03/02 | GET /roundcubewebmail/bin/msgimport |
| 2009/03/02 | GET /mail/roundcube/bin/msgimport |
| 2009/02/28 | GET /roundcubemail-0.1.1/program/js/list.js |
| 2009/02/28 | GET /roundcube-0.1.1/program/js/list.js |
| 2009/02/16 | POST /roundcube/program/lib/html2text.php |
| 2009/02/16 | POST /roundcube/bin/html2text.php |
| 2009/02/16 | GET /roundcube/program/lib/html2text.php |
| 2009/02/16 | GET /roundcube/bin/html2text.php |
| 2009/02/14 | GET /roundcubemail-0.1/program/js/list.js |
| 2009/02/14 | GET /roundcubemail/program/js/list.js |
| 2009/02/14 | GET /roundcube/program/js/list.js |
| 2009/02/11 | GET /components/com_roundcube/CHANGELOG |
| 2009/02/11 | GET /roundcubemail/CHANGELOG |
| 2009/02/11 | GET /roundcube/CHANGELOG |
| 2009/01/14 | GET /roundcube/ |
| 2009/01/12 | GET /roundcubemail-0.2/bin/msgimport |
| 2009/01/12 | GET /roundcubemail-0.1/bin/msgimport |
| 2008/12/27 | GET /roundcube/bin/msgimport |
2.4 Web Drupal
人気のあるオープンソースCMSであるDrupalの脆弱性を狙ったと思われるアクセス(GET /user/soapCaller.bs)の発信元が5月以降増加している(図 6)。開発元でも脆弱性情報を公開しており、7月にも最新のセキュリティ修正が公開されているため、利用者は確認して更新する必要がある。
図 6 2009年5月の上位のWebアクセス
表 2のようにDrupalの脆弱性を狙ったアクセスは、2008年秋以降時折観測されておりユーザは開発元から発表される脆弱性情報と更新情報に注意を払う必要がある。
表 2 Drupalに関連する主なアクセスバリエーション
| 最初の検知日 | 攻撃内容 |
|---|---|
| 2009/04/30 | GET /user/soapCaller.bs?x=x |
| 2008/12/24 | GET /user/index.phpsoapCaller.bs |
| 2008/10/20 | GET /soapCaller.bs |
| 2008/10/20 | GET /trixbox/soapCaller.bs |
| 2008/10/20 | GET /trix/soapCaller.bs |
2.5 Web HORDE
一方で、図 6からは、別なアクセス(GET /horde/README)の発信元が増加していることもわかる。HordeはPHPベースのアプリケーション開発フレームワークであり、それを利用したWebアプリケーションも数多く多く公開されていることから、定常的に攻撃対象となっている。
図 7はその後6月の状況を示しているが、Hordeに関するアクセスが上位を占め、活動が活発になっていることがわかる。
図 7 2009年6月の上位のWebアクセス
表 3にHordeに関連する主なアクセスバリエーションとその最初の観測日を示す。これまではアクセス数は多くても既知のアクセスパターンに限られていたが、今年5月以降新たなパターンも観測されている。
表 2 Drupalに関連する主なアクセスバリエーション
| 最初の検知日 | 攻撃内容 |
|---|---|
| 2009/7/26 | GET /horde/services/help/?show=about&module=;%22.passthru(%22id%22); |
| 2008/5/9 | GET /horde/services/help/?show=about&module=;".passthru("id"); |
| 2008/5/11 | GET /horde-webmail//README |
| 2008/5/11 | GET /HORDE//README |
| 2008/5/11 | GET /html/horde-webmail//README |
| 2008/5/11 | GET /horde1//README |
| 2008/5/11 | GET /horde0//README |
| 2008/5/11 | GET /horde-2.2.9//README |
| 2008/5/11 | GET /Horde-3.1.1//README |
| 2008/5/11 | GET /Horde-3.0.9//README |
| 2008/5/11 | GET /Horde-2.1.1//README |
| 2007/9/19 | GET /horde/services/help/index.php |
| 2007/2/11 | GET /Horde//README |
| 2006/11/1 | GET /horde-3.0.9//README |
| 2006/11/1 | GET /horde-3.0.7//README |
| 2006/11/1 | GET /horde-3.0.8//README |
| 2006/11/1 | GET /horde-3.0.5//README |
| 2006/11/1 | GET /horde-3.0.6//README |
| 2006/11/1 | GET /horde2//README |
これらの新規パターンは特に新しい脆弱性を狙ったものではないが、6月にはJVNでもHordeに関連した3つの脆弱性[9][10][11]に関する情報があいついで公表されており、注意が必要である。
3 まとめ
MUSTANでは、不正なポートアクセスを監視し、実際に狙われているポートに関する情報を提供している。また、近年問題になっているWebアプリケーションの脆弱性についても実際に攻撃が試みられていることを示しており、広く使われているプラットフォームでは脆弱性が知られるのとほぼ同じタイミングで実際にアクセスが増加している。情報システムの管理者は、定期的にサイトを確認し効果的に対策をとっていく必要がある。
以上
参考文献
| [1] | Kyle Haugsness, “TCP scanning increase for 4899,” |
| [2] | JVNDB-2009-001231, |
| [3] | CVE-2009-0991, “Unspecified vulnerability in the Listener component in Oracle Database”, |
| [4] | JVN#33820033, |
| [5] | |
| [6] | Roundcube: Break-in possibility via html2text.php? |
| [7] | Roundcube Webmail Issues, http://isc.sans.edu/diary.html?storyid=5560, |
| [8] | Roundcube Webmail - Another Issue, http://isc.sans.edu/diary.html?storyid=5599, |
| [9] | JVNDB-2009-001451 |
| [10] | JVNDB-2009-001452 |
| [11] | JVNDB-2009-001453 |
