おひさしぶりです。柊です。
9月18日前後は、中国からのサイバー攻撃が予測されていたのですが、それほど大きな被害もなく終わりそうです。自分の整理用に、簡単にまとめてみました。
■前提知識
・9月18日…満州事変 のきっかけとなった、柳条湖事件 が起こった日
・中国紅客連盟 …主に中国大陸に存在するハクティビズムで知られるグループの総称
毎年のように、9月18日前後にサイバー攻撃を実施している模様
・DDoS攻撃
…踏み台と呼ばれる多数のコンピュータが、標的とされたサーバなどに対して攻撃を行うこと
・DNSリフレクション攻撃 (DNSアンプ攻撃)
■事前の注意喚起
(9/11)中国を発信元とする再帰問い合わせ可能なDNS サーバの探索行為の増加について - 警察庁
「中国からの53/UDP通信増加」「再帰問い合わせ可能なDNSサーバの探索通信が増加」「DNSサーバが拡張機能EDNS0に対応しているかの確認通信が増加」「管理下のDNSサーバがDNSリフレクション攻撃に悪用されないよう確認することを推奨」との注意喚起
(9/12)9月18日に関連したサイバー攻撃に関しての注意喚起 - ラック
「サーバーやサービスに対するサービス妨害攻撃」「Webサーバーの改ざん」への注意喚起
(9/12)柳条湖事
(9/17)9月18日はサイバー攻撃に注意 - 情報通信総合研究所
■9月18日以降に判明した事実も含めた攻撃の模様
※日付は攻撃の発生日(と思われる日)であり、発表日とは限りません
※一部、情報のソースを確認中
(9/7~10)オープンリゾルバを悪用したDDoS攻撃が確認されました - ラック
(9/10)現時点
(9/10)中国を発信元とするUDP 53番ポートへのアクセスの増加を確認 - 警察庁
(9/14)Unixのパスワードファイルを不正に閲覧しようとする中国からの攻撃を確認 - IBM
※3つ目のグラフの年表示がおかしいですが、単純な誤りと思われます(柊)。
(9/15)Unixのパスワードファイルを不正に閲覧しようとする中国からの攻撃を確認 - IBM
(9/18の数日前から9/18まで)DNSサーバ、それもネットワーク機器などに組み込まれていたDNSサーバが意図せずオープンリゾルバ状態になっていたことに起因するインシデントが複数発生 - ラック
(9/18前後)脆弱なウェブサーバを探すSQLインジェクション攻撃が微増 - ラック
(9/18未明)Unixのパスワードファイルを不正に閲覧しようとする中国からの攻撃を確認 - IBM
(9/18 17:00)特定の攻撃について若干検知数が増加したものの、被害は発生していない - ラック
(9/18夕方~夜)Unixのパスワードファイルを不正に閲覧しようとする中国からの攻撃で送信元IPアドレス数が増加するも、例年の3割程度 - IBM
(9/18)複数のWeb改ざんが確認され始めた - エフセキュア
日本を挑発するようなファイル(たとえば、「Fuck-JP.html」など)がサーバに置かれていた、とのこと