SCAN Security Alert #4 ワーム被害の拡大は、IPアドレス探索方法で変わる | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.13(水)

SCAN Security Alert #4 ワーム被害の拡大は、IPアドレス探索方法で変わる

製品・サービス・業界動向 業界動向

 新しいワームが発生した際の影響度について、co.jp サーバの調査結果に基づいて、わが国全体のIPアドレス数、生きているIPアドレスなどを加味したシミュレーションを複数回行った。
 シミュレーションにあたって、下記項目を条件にした遷移確率行列を用い、1つの感染サーバから感染が拡散するシミュレーションを行った。

 感染可能サーバ数
 ヒット率(感染成功率)
 感染開始アドレス
 感染対象探索方法
 単位時間当たり感染活動頻度
 母数となる全体IPアドレス数(固定)
 ドメイン数(固定)
 生きているIPアドレスの分布(固定)

 全体の10%まで感染が拡大する時間は、シミュレーション条件によって、数分間から1日までとかなり大きな違いがでた。

 違いを生んだもっとも大きな要因は、感染対象探索方法である。
 生きてるサーバは、IPアドレス上に平均的に分布しているわけではなく、局所ごとに固まって存在している。したがって、生きているサーバの前後のアドレスには、生きているアドレスが存在する確率が高い。
 そのため、探索方法としては、離れた生きているIPアドレスを探索し、生きているアドレスを発見したら、その周辺を攻撃するという探索方法が有効である。

 複数の感染方法を用いることで、離れていて生きているアドレスに感染する方法も有効である。メールや web を閲覧した利用者に感染するようにすれば、離れた生きているアドレスに感染できる可能性は高くなる。
 サーバ上に残されているログなどのデータから飛び先を探索する方法も有効と考えられる。

 生きているアドレスが存在する場所を100前後指定することも考えられる。この場所をあらかじめワームに仕込んであった場合、感染拡大の速度は飛躍的に向上する。
 生きている離れたIPアドレスのリストは、特殊な技術なしで短期間で作成可能が可能であるため、悪意をもった第三者が多数の co.jp サーバを短期間に感染させることが比較的容易である。
 いうまでもないことだが、感染したサーバ上にあるデータ盗用あるいはサーバを閲覧する一般利用者への受動的攻撃などさまざまな危険性が存在する。

 なお、本シミュレーションは、編集部からの依頼で短期間におこなったものであり、本格的なマルコフ連鎖とモンテカルロ法による追試が必要と考えられる。
 緻密なモデルによるシミュレーションにより、より多くの知見が得られることが期待できる。

[ Prisoner Langley ]


 詳細な調査結果およびデータベースについては、3月29日までの間に限定し、有償配布を行っている。くわしくは Scan 編集部まで scan@vagabond.ne.jp 媒体関係者の方向けのデータ提供もしております。お気軽に上記アドレスにお問合せください

※ご注意
 この調査結果は、編集部独自の調査、推定方式に基づくものです。
 内容および内容にもとづいて行った活動について一切の保証・責任を負いません。

《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  3. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

    シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  4. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. ダークウェブからAIで情報収集(DTRS、IISEC)

  7. 人の動作に偽装するボットアクセスを検知(アカマイ)

  8. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  9. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×