「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁) | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2018.12.16(日)

「3ウェイ・ハンドシェイク」を悪用したSYN/ACKリフレクター攻撃を確認(警察庁)

警察庁は、レポート「宛先ポート80/TCP を利用したSYN/ACK リフレクター攻撃とみられる観測等について」を「@police」において公開した。

調査・レポート・白書 調査・ホワイトペーパー
宛先ポート80/TCP に対するアクセス件数の推移(発信元国・地域別 i H30.9.26~11.5)
宛先ポート80/TCP に対するアクセス件数の推移(発信元国・地域別 i H30.9.26~11.5) 全 4 枚 拡大写真
警察庁は12月3日、レポート「宛先ポート80/TCP を利用したSYN/ACK リフレクター攻撃とみられる観測等について」を「@police」において公開した。2018年9月26日頃から、同庁のインターネット定点観測システムにおいて増加を確認しているという。この観測は、SYNパケットを短期間に多数検知したもので、その特徴は、Webサーバ等で使用される80/TCPを宛先ポートとし、発信元が特定の単一IPアドレスまたは同一ネットワーク内とみられる複数のIPアドレスとなっていた。これらはSYN Flood攻撃に関連した観測と考えられるとしている。

9月26日の観測では、米国に割り当てられた特定の単一IPアドレス(23.225.x.x)を発信元とするSYNパケットを約6時間に渡って検知した。また、11月5日の観測では、同一ネットワークに属するとみられる複数のIPアドレスを発信元とするSYNパケットを検知したが、センサー別に検知パケットを確認すると、その発信元は特定の単一IPアドレスとなっていた。さらに、これらSYNパケットは応答型センサーでのみ検知していることが判明した。

今回の観測では、TCPプロトコルにおける「3ウェイ・ハンドシェイク」の仕組みを悪用し、何者かが送信元IPアドレスを偽装したSYNパケットを多数のインターネット上のWebサーバ等の機器に対し送信していたとみている。SYNパケットを受け取ったWebサーバ等の機器は踏み台となり、SYN/ACKパケットを偽装された送信元IPアドレスに送信することになる。これは、偽装された送信元IPアドレスを持つ機器や当該機器が属するネットワークのサービスが不能状態に陥ることを狙ったTCPプロトコルによるSYN/ACKリフレクター攻撃と考えられるとしている。

《吉澤 亨史( Kouji Yoshizawa )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. 他の職員のOTPトークンを窃取し不正アクセス、盗撮の余罪も判明し懲戒免職に(奈良県)

    他の職員のOTPトークンを窃取し不正アクセス、盗撮の余罪も判明し懲戒免職に(奈良県)

  2. CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ

    CSIRT 担当者は J. D. サリンジャーを読むべきか ~ やらかし事例から学ぶセキュリティ

  3. 働き方改革やIoTの進展で、企業も個人も標的に--2019年の脅威予測(トレンドマイクロ)

    働き方改革やIoTの進展で、企業も個人も標的に--2019年の脅威予測(トレンドマイクロ)

  4. セキュリティカンファレンス論文公募の受かり方

    セキュリティカンファレンス論文公募の受かり方

  5. きみに読んでほしい3冊:セキュリティブックガイド 第一回   NRIセキュアテクノロジーズ 小田島 潤「計算機基礎」

    きみに読んでほしい3冊:セキュリティブックガイド 第一回 NRIセキュアテクノロジーズ 小田島 潤「計算機基礎」

  6. 50歳以上向けセキュリティ教材を作成(カスペルスキー)

    50歳以上向けセキュリティ教材を作成(カスペルスキー)

  7. DLmarketへの不正アクセスで561,625件の会員情報が流出の可能性(ディー・エル・マーケット)

    DLmarketへの不正アクセスで561,625件の会員情報が流出の可能性(ディー・エル・マーケット)

  8. 全くの無知よりも予備知識がある方がフィッシング詐欺にかかりやすい:米大学研究結果(The Register)

    全くの無知よりも予備知識がある方がフィッシング詐欺にかかりやすい:米大学研究結果(The Register)

  9. アンケート回答で1万円、Amazon騙るフィッシングメール(フィッシング対策協議会)

    アンケート回答で1万円、Amazon騙るフィッシングメール(フィッシング対策協議会)

  10. EDR機能のAPIを提供、さまざまな活用を可能に(サイランス)

    EDR機能のAPIを提供、さまざまな活用を可能に(サイランス)

ランキングをもっと見る