米ベライゾンビジネスは、単一の標的を定めるのではなく目標を模索しながら弱点のあるシステムを狙う攻撃を「オポチュニスティック型攻撃」と呼んでいる。同社はこれまでオポチュニスティック型攻撃の発生源や攻撃パターンについてブログで取り上げてきたが、今回はタイミングについて考察した。
同社はまず「システムがインターネットにアクセスして11分以内に攻撃される」との計測結果を報告した。しかしこれはほとんど役に立たないと付け加えている。
この「11分」は平均時間であり、望まないTCP SYNパケットの受信を「攻撃」の始まりとして調査している。望まないTCP SYNの大半は悪意のある行為の兆しである可能性が高いものの、すべてがそうだとは限らない。また、「平均」は単なる基準であり、すべての値を加算して合計を除算した数字にすぎない。
この場合は、単純にさまざまなIPアドレスに送られてくるパケットを収集し、パケット間の時間を測定して、攻撃の探査を受ける見込みを計算し、「平均」を割り出した。しかし概して「平均」というものは実際の生活ではめったに起こらない。
そこで、攻撃を受ける可能性がある時間の幅をより深く理解するために、同社はデータの範囲と分布を表す一つの手法「箱ひげ図」を使用した。
オポチュニスティック攻撃を受けるまでの時間を示す箱ひげ図
矩形は「四分位範囲」、簡単に言えば「データの中央値」を表し、観測の50%はこの範囲に該当する。矩形から上に伸びる線は「四分位数」を示し、データの上位25%を意味する。この線の上にあるすべての観測は「外れ値」となる。この図を見て、そのまま素直に表現すると、「システムをインターネットに置いて31分経っても望まないTCP SYNパケットを受け取らないのは奇妙だ」ということになる。
「奇妙」とはつまり、統計的に外れていてほとんどありえないという意味である。今すぐインターネットにアクセスしているシステムを使用し、ネットワークトラフィックを測定すれば、ほぼ31分以内に必ずTCP SYNパケットを確認し、2人に1人は7分以内にTCP SYNパケットを受信する。
次いで同社は、「一つのサービスがどれくらいオポチュニスティック型攻撃に見つからずに済むか」と考え、分析データを視覚化した図形を完成した。特定のポート(サービス)ごとに箱ひげ図を作成し、探査を受けるまでの最大時間に基づいて並べ替えた。
オポチュニスティック型攻撃に見つかるまでのポート別の時間
こうしたデータ収集で重要なことは、データを疑うことだとベライゾンビジネスは忠告する。何らかのきっかけで分析結果を変えてしまう要素はいくつも存在する。まず、トラフィックの一部はオポチュニスティック型攻撃などの悪質なものとは異なる可能性がある。一部のデータは教育研究やマッピング作業、あるいは単なるタイプミスや構成ミスといった場合もある。
しかし逆に、想像力を広げて、悪意のないトラフィックが大半を占めると考えるのも間違いだ。また、データを収集したIPアドレスがすべてのIPアドレス空間の典型だとは限らない。最後に、これら観測は全体のうちほんのわずかなサンプルに基づくものであり、未知のサンプルの中に、データに大きく影響するものがあるかもしれない。
これらを踏まえたうえで、ベライゾンビジネスはある程度自信を持って、Microsoft RDPやSQLは他のサービスより見つかりやすく、中国と米国のIPアドレスは最も狙われやすいとの結論を導き出した。
より頻繁に攻撃の探査を受けているサービスは、他のサービスより攻撃者を引きつける属性を複数備えている。攻撃しやすい欠陥や貧弱な構成、あるいはお金を儲けやすいなど、さまざまな要素が考えられる。今回の分析データからはそれらが何であるか特定できないが、攻撃者は一部のサービスを時間や労力をかける価値があるものと見なしていることが推測できる。
