約半数がマルウエアに感染
では、マルウエア感染の可能性がある組織のうち、実際にマルウエアに感染していたのはどの程度だったのだろうか。観測結果を踏まえて、マルウエア感染の疑いを各組織に通知したところ、約半数が実際にマルウエアに感染していた。これは日本の組織のセキュリティ対策に不安を覚える結果である。
そう感じるのにはいくつか理由がある。我々が観測するのは、我々が保有できたDNSシンクホールのみであるが、国内を狙う攻撃に関係する比較的新しいドメインであるため、攻撃や被害の最新動向を反映しやすい。そこで半数が感染しているということは氷山の一角であり、日本全体として同様の傾向があると推測できるからだ。
観測するDNSシンクホールには、攻撃者がドメインを失効してから月単位の時間がたったものもある。だがいまだにそのドメインに向かうDNSクエリーを観測できるケースもあった。つまり、長期間におよび、対策が行き届いていない組織があるということだ。こうした組織は他の攻撃も成功し、侵入されていると推測できる。
解析を進めると、未知のマルウエアも数個発見できた。既存の対策が追い付かない中、攻撃側がまったく手を緩めていないことがわかる。これでは被害が広まるばかりだろう。
対策のレベルが高まっていないと感じる理由はまだある。実は大きな組織であってもいまだに設定ミスによって、DNSサーバーが「オープンリゾルバー」となっているものも存在したからだ。オープンリゾルバーとは、社内のキャッシュサーバーとして動作するDNSサーバーのうち、所属組織外からの名前解決の問い合わせにも応答してしまう設定となっているものを指す。
