GPONルータを狙うサイバー攻撃の急増を日本国内でも観測 サイバーセキュリティクラウド

株式会社サイバーセキュリティクラウド 2018年07月26日

From PR TIMES



株式会社サイバーセキュリティクラウド(本社:東京都渋谷区、代表取締役:大野 暉、以下「サイバーセキュリティクラウド」)は、企業に対してサイバーセキュリティに関する注意喚起をリアルタイムに実施するため、自社独自に集約したサイバー攻撃に関するデータを分析した「サイバー攻撃速報」を発表いたします。

■GPONルータを狙った攻撃状況について
2018年7月20日に、日本国内でもGPON[1]ルータを狙った攻撃がキャンペーン的に増加したことを観測しました。今回観測した攻撃は2 つの脆弱性 「CVE-2018-10561」と「CVE-2018-10562」を悪用するものです。
同様の観測は、eSentire Threat Intelligence [2]でも観測が発表されていることから、世界規模で発生したサイバー攻撃と考えられます。
サイバーセキュリティクラウドでは、GPONを利用するルータの2つの脆弱性(CVE-2018-10561、CVE-2018-10562)が公表された2018年5月時点より、本脆弱性の観測を継続してきましたが、7月20日に攻撃数の一時的な増加がみられた為、注意喚起を目的に観測データを公表いたします。
[画像1: (リンク ») ]

図1. 2018年6月に検知したCVE-2018-10561、CVE-2018-10562を悪用した攻撃の推移

本脆弱性のPoCは5/3に公表されているため、図1のとおり、6月10日までは検知数が多い状況が継続していましたが、それ以降は検知数が”100”を超えることはありませんでした。
[画像2: (リンク ») ]

図2. 2018年7月に検知したCVE-2018-10561、CVE-2018-10562を悪用した攻撃の推移

図2のとおり、7月19日に突如として検知数が”1,000”を超え、再び本脆弱性を悪用した攻撃が増加しました。さらに7月25日には検知数”6,793”となり、非常に多くの攻撃を検知しました。

また、攻撃元国(発信源)に着目してみると、エジプトに偏っていることが判明しました。エジプトを発信源とする攻撃の送信元IPアドレスの数は、7月19日~7月25日のわずか7日間で、8,947個に及びました。送信元IPアドレスの数が膨大に及ぶことから、攻撃者はすでに感染している踏み台の機器に命令を出し、今回の攻撃を発生させた可能性も十分考えられます。
[画像3: (リンク ») ]

図3. 2018年7月に検知したCVE-2018-10561、CVE-2018-10562を悪用した攻撃の発信源

本攻撃を成功させると、機器への侵入とリモートでコードの実行が可能となります。また、これにより感染したデバイスがボットネット化し、新たなDDoS攻撃の攻撃元となってしまう可能性があります。

■クラウド型WAF「攻撃遮断くん」の対応状況
なお、クラウド型WAF「攻撃遮断くん」におきましては、本攻撃に関して、既存のシグネチャにて検知し遮断しております。
[1] 光通信規格「Gigabit Passive Optical Network」の略
[2] (リンク »)

■「攻撃遮断くん」について

[画像4: (リンク ») ]

「攻撃遮断くん」は、Webサイトへのサイバー攻撃を可視化・遮断するクラウド型WAFのWebセキュリティサービスです。
官公庁や金融機関をはじめ、大企業からベンチャー企業まで業種や規模を問わず様々な企業にご利用いただき、
2013年12月のサービス提供開始から約3年半で累計導入社数・導入サイト数 国内第1位※2を記録しています。
※攻撃遮断くんの名称、ロゴは、日本国における株式会社サイバーセキュリティクラウドの登録商標または商標です。
※1 出典:Netlab Botnets never Die, Satori REFUSES to Fade Away: (リンク »)

Radware Satori IoT Botnet Variant: (リンク »)

※2出典:「クラウド型WAFサービス」に関する市場調査(2017年8月25日現在)<ESP総研調べ>(2017年8月調査)

■株式会社サイバーセキュリティクラウドについて
会社名:株式会社サイバーセキュリティクラウド
所在地:〒150-0031 東京都渋谷区桜丘町24-4 第5富士商事ビル4階
代表者:代表取締役 大野 暉
設立:2010年(平成22年)8月
URL: (リンク »)
    (リンク »)
「世界中の人々が安心安全に使えるサイバー空間を創造する」この理念を掲げ、サイバーセキュリティクラウドでは、自社で一貫してWebセキュリティサービスの開発・運用・保守・販売を行っています。全ての企業様が安心安全に利用できるサービスを開発し、情報革命の推進に貢献するために私たちは挑戦し続けます。

プレスリリース提供:PR TIMES (リンク »)

関連情報へのリンク »

本プレスリリースは発表元企業よりご投稿いただいた情報を掲載しております。
お問い合わせにつきましては発表元企業までお願いいたします。

【企業の皆様へ】企業情報を掲載・登録するには?

御社の企業情報・プレスリリース・イベント情報・製品情報などを登録するには、企業情報センターサービスへのお申し込みをいただく必要がございます。詳しくは以下のページをご覧ください。

SpecialPR

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]