PR

 中国に割り当てられたアドレスからの攻撃はそれまでもコンスタントにあったが、4月中旬ころに急激に増加し、その後で元に戻っているのが見える。分析してみると、この急激な増加分がちょうどHeartBleed攻撃の件数と重なる。つまり、4月15日から中国保有のアドレスからのHeartBleed攻撃が急拡大し、22日にはピタリと沈静化している。一方、青のグラフの件数から赤のグラフの件数を差し引くと、中国保有のアドレス以外からのHeartBleed攻撃は続いていることがわかる。いずれにせよ、HeartBleed攻撃は継続している。まだ対策をとっていないなら、早急に最新版に差し替えておこう。

Strutsを使うサーバーへの攻撃も継続中

 さて、Strutsのほうはどうだろうか。これもJSOCで調べてみた。

図2●Strutsを狙った攻撃の推移(出典:ラック「セキュリティ監視センターJSOCでの検出攻撃の推移」)
図2●Strutsを狙った攻撃の推移(出典:ラック「セキュリティ監視センターJSOCでの検出攻撃の推移」)
[画像のクリックで拡大表示]

 図2がStrutsを使うサーバーを対象とした攻撃の件数である。コンスタントに発生しているが、今回の脆弱性の攻撃コードが確認された4月中旬以降、一段と激化している事実が見て取れる。国別に分類してみると、特徴的なのは中国に割り当てられたIPアドレスからの攻撃で、3月に少しピークがあり4月中旬以降に攻撃が活性化している(図3)。いずれにせよ、中国のIPアドレスからの攻撃ではStrutsを使うサーバーを明らかに対象としており、今後も継続して攻撃が続くものと予測できる。

図3●Strutsを狙った攻撃の国別推移(出典:ラック「セキュリティ監視センターJSOCでの検出攻撃の推移」) 水色の折れ線が中国に割り当てられたIPアドレスからの攻撃
図3●Strutsを狙った攻撃の国別推移(出典:ラック「セキュリティ監視センターJSOCでの検出攻撃の推移」) 水色の折れ線が中国に割り当てられたIPアドレスからの攻撃
[画像のクリックで拡大表示]