ペンタセキュリティシステムズ株式会社

Web Application Threat

Trend Report

Trends for the 2017

目次

I. 概要

1. 報告書の目的

II. 要約

1. ルール別ウェブ攻撃動向

2. 主要攻撃元動向

3. 産業別ウェブ攻撃動向

4. 国家別ウェブ攻撃動向

5. 時間帯別ウェブ攻撃動向

III. 2017年ウェブ攻撃動向分析

1. ルール別ウェブ攻撃動向

2. 主要攻撃元動向

3. Black IP数増減推移

4. 産業別ウェブ攻撃動向

5. 国家別ウェブ攻撃動向

6. 時間帯別ウェブ攻撃動向

IV. 付録

1. 分析方法

1) データ収集方法・対象・期間

2) 前報告書との違い

3) 用語定義

4) Black IP 一覧

I. 概要

1. 報告書の目的

本「Web Application Threat Trend Report(WATT Report)」は、全世界に設置されているアジア・パシフィック地域のマーケットシェ

ア1位1)のウェブアプリケーションファイアウォールの「WAPPLES（ワップル）」の検知データを基に作成されました。本報告書は、お客様

が収集に同意したデータのみ使い、収集されたデータを自社の「Intelligent Customer Support(ICS)」システムより分析した情報を基

盤として作成したウェブ攻撃動向分析報告書です。

本報告書は、最新攻撃動向分析を通じてウェブ攻撃パターンを把握して、予測した結果を今後WAPPLES（ワップル）の運営に

反映することを目的としています。

また、WAPPLESのお客様とパートナー、企業及び機関セキュリティ管理者、研究機関など、ウェブセキュリティ動向に関心のあるすべ

ての読者にウェブ攻撃動向に関する情報提供を目的として作成および配布します。

読者は、本報告書を通じてWAPPLES検知ルールを基に主要ウェブ攻撃に関する各種の統計情報、主要攻撃者の攻撃タイプとBl

ack IPに関する推移情報、主要ウェブ攻撃発信国家の統計情報、産業別・時間帯別のウェブ攻撃情報などの提供を受けることが

できます。

3

1) Industry Quotient, Frost & Sullivan, 2015.

4

II. 要約

本報告書は、WAPPLES検知ルールの中で最も重要だと判断される5つのルールをTop5に選定し、攻撃データを分析しており、該当

攻撃の動向と主要攻撃元の攻撃およびBlack IP動向、産業別攻撃タイプ、攻撃発信国家、時間帯別攻撃の観点から分析しまし

た。

1. ルール別ウェブ攻撃動向

WAPPLESで検知するTop5ウェブ攻撃は、Cross Site Scripting(33.31%)、SQL Injection(25.72%)、Stealth Commandi

ng(24.64%)、File Upload(13.32%)、Directory Traversal(3.01%)の順に選定されました。Top5のウェブ攻撃は、2016年と

同じ結果なので、持続的で特別な注意が必要です。また、月別の結果を見ると、SQL Injection攻撃が持続的な上昇してい

る姿を見せており、Cross Site Scriptingの攻撃は20%を維持し続けています。したがって、様々なウェブ攻撃に対する対策を用

意するとともに、特にTop5に対して関心を持ってセキュリティ対策を用意しなければなりません。

2. 主要攻撃元動向

2017年1月1日から12月31日までウェブ攻撃回数は20万件以上、ウェブ攻撃脅威の程度などの基準によって点数を付与し、80

点以上の攻撃者を「主要攻撃者(Black IP)」に選定しました。Black IPの主要ウェブ攻撃動向は、全体ウェブ攻撃動向の割合とは差

があります。Stealth Commanding(41.04%)、Directory Traversal(37.59%)、SQL Injection(14.18%)、Cross Site Scripting(3.99%)、

File Upload(3.20%)の割合を見せました。このような内容は、ルール別のウェブ攻撃動向では割合が低くても大きな被害に繋がる可能

性があるので、安心してはならないということを意味します。

また、Black IPの増減推移は最大608件、少なくとも262件で年平均391件という結果が出ました。特に1月、4月、6月、7月、12

月は平均より高い件数を見られているので、持続的なモニタリングを通じてBlack IPに対する注意を傾けなければなりません。

3. 産業別ウェブ攻撃動向

WAPPLESを使用する産業分野を基準に、検知されたウェブ攻撃を分類して示しました。産業区分により、ウェブ攻撃の発生割合

は、放送通信&映像サービス(25.96%)、公共行政サービス(25.29%)、金融(17.43%)、教育(16.28%)、科学技術(4.02%)、卸小売業

&製造(3.45%)、その他(7.57%)と表れました。また、全体産業別攻撃の動向を見ると、SQL Injection(46.79%)、Stealth Command

ing(27.58%)、Cross Site Scripting(20.76%)、File Upload(4.03%)、Directory Traversal(0.84%)と表れました。

4. 国家別ウェブ攻撃動向

韓国から発信された攻撃のルール別割合は、SQL Injection(36.82%)、Cross Site Scripting(36.30%)、Stealth Comman

ding(14.38%)、File Upload(11.77%)、Directory Traversal(0.74%)の順に現れました。また、韓国を含めた大陸別の割合を

見ると、ウェブ攻撃に対する検知数を基準にアジア、アメリカ、ヨーロッパ、アフリカ、オセアニアの順番でウェブ攻撃が発生しまし

た。 特に、アジア、ヨーロッパ、アメリカ大陸でSQL Injection、Cross Site Scripting、Directory Traversalを含む多くのウェブ

攻撃が発生しました。

また、ウェブ攻撃ルールに対する攻撃発信の上位国家の割合は韓国、アメリカ、中国、ウクライナ、ロシア、日本、オランダの

順となっており、一般的にウェブ活動が活発な国家が攻撃発信の上位国家に位置しています。

5. 時間帯別ウェブ攻撃動向

1日24時間基準でウェブ攻撃が検知された回数を表現します。データを分析してみると、すべての時間帯で20万件以上のウェブ攻

撃が検知されました。特に、11時30分~12時30分、17時00分~18時30分で多くのウェブ攻撃が検知されますが、これはセキュリティ

担当者たちの交代時間(食事時間、交代時間など)と、システム点検に向けて、セキュリティ機能を一時的に消して置いた隙を狙った

攻撃と推定されます。したがって、上記の時間帯には特に注意しなければなりません。

III. 2017年ウェブ攻撃動向分析

1. ルール別ウェブ攻撃動向

ルール別ウェブ攻撃動向を通じて、一年間どのような攻撃が頻繫に発生したかを見ることができます。また、これを基にして基本的な

ウェブ攻撃対応のガイドラインを策定することで、ウェブ攻撃に対する予防及び対応策を設けることができます。

下記のグラフは、2017年WAPPLESを通じて検知されたウェブ攻撃を分析したものです。

2017年1月1日から2017年12月31日までCross Site Scripting(33.31%)攻撃が最も多く、SQL Injection(25.72)、Stealth

Commanding(24.64%)、File Upload(13.32%)、Directory Traversal(3.01%)の順で検知されました。

Cross Site Scripting(XSS)攻撃は、2016年には２番目で頻度が高かったウェブ攻撃でしたが、今年は最も攻撃頻度が高かった攻

撃という結果が出ました。これは、ウェブアプリケーションサーバだけでなく、これを使用する使用者まで攻撃してシステム管理者権限と

使用者の個人情報まで全部奪取しようとする試みのせいと考えられます。 XSS攻撃を許可する際は、クッキー/セッションID情報奪取、

システム管理者権限の奪取、悪性コードのダウンロードなどの1次被害を受けるようになり、これによって、個人情報、国や社内の機密

情報流出などの深刻な2次被害が発生します。特に、2017年には北朝鮮の仕業と推定されるサイバー攻撃の回数が過去より増加

したものと調査されている状況です。

このようなXSS攻撃は、様々なスクリプトタグを利用して行われます。スクリプトタグを利用して、ウェブアプリケーションでユーザのデータ

を集めたり、攻撃者によって特定のコマンドが実行されるようにします。その結果、クレジットカードまたは銀行口座番号などの個人情

報とユーザのパスワードなどを盗むことができ、サイトを通じて拡散される自己複製ウォームを作ったり、リソースを掌握してサイトの速度を

大きく低下させることもできます。

したがって、XSS攻撃を予防するためには、1)迂回パターンに対する正確かつ迅速なアップデートを実施したり、2)スクリプトに使用さ

れる特殊文字に対するホワイトリスト運用、またはポップアップブロック、3)HTML自体を遮断、4)入力値制限および入力値の置き換

え技術を通じて、スクリプトの挿入を防止することができます。

その他に、SQL Injectionなどの攻撃も手法が知られているし、大きな被害を起こす可能性がある攻撃なので関心を持って、セキュリ

ティ対策を打ち立てなければなりません。

5

33.31%

25.72%

13.32%

3.01%

24.64%

ルール別ウェブ攻撃動向（年間）

Cross Site Scripting SQL Injection File Upload

Directory Traversal Stealth Commanding

III. 2017年ウェブ攻撃動向分析

1. ルール別ウェブ攻撃動向

上のグラフは、2017年Top5のウェブ攻撃に対して、月別の発生頻度を分析した内容です。

Top5ウェブ攻撃の中でSQL Injectionは、持続的に上昇傾向を見せており、Cross Site Scripting(XSS)は続けて20%を維持してい

ることが分かります。ここで、特徴的な点は、5月と7月にDirectory TraversalとStealth Commandingが急激に上昇したことです。ハッ

カーが自分目的によって、頻繁に使用されているウェブ攻撃と使用頻度が低い攻撃を選択的に使用したと見ることができます。した

がって、傾向のみを考慮してウェブ攻撃に備えることに止まらず、新しいパターンの攻撃に対しても対応できる方策を備える必要があり

ます。

特に、5月と7月に急激に上昇したDirectory TraversalとStealth Commanding２つの攻撃はどちらも情報流出を目的を持ってい

るので、当月に個人情報被害が多く発生したと類推されます。2つの攻撃は上のグラフで全体的に大きな割合を占めていないが、W

APPLESで検知されて分類されたウェブ攻撃の中にTop5に該当するウェブ攻撃なので無視できない危険です。SQL InjectionとCross S

ite Scriptingを上回る頻度で発生したということは、注意すべきところです。

したがって、セキュリティ管理者は前年および前月に起きたウェブ攻撃頻度と各月別のウェブ攻撃頻度の関係を調べて、当機関の

状況と環境に合うセキュリティ対策を対策を講じなければなりません。

6

1 2 3 4 5 6 7 8 9 10 11 12

Cross Site Scripting 23.52% 19.67% 22.91% 29.65% 4.13% 24.55% 8.81% 17.95% 19.14% 22.03% 19.06% 26.50%

SQL Injection 52.85% 40.51% 60.59% 48.89% 5.36% 52.62% 19.46% 57.19% 55.86% 56.87% 61.61% 50.47%

File Upload 10.81% 25.87% 1.95% 3.14% 0.33% 4.27% 1.14% 6.57% 7.39% 3.37% 2.48% 5.26%

Directory Traversal 0.41% 0.46% 0.24% 0.22% 44.28% 0.53% 29.47% 0.14% 0.21% 0.23% 0.84% 2.11%

Stealth Commanding 12.42% 13.48% 14.32% 18.10% 45.90% 18.04% 41.11% 18.16% 17.40% 17.49% 16.01% 15.66%

0.00%

10.00%

20.00%

30.00%

40.00%

50.00%

60.00%

70.00%

ルール別ウェブ攻撃動向（月間）

Cross Site Scripting SQL Injection File Upload Directory Traversal Stealth Commanding

선형 (Cross Site Scripting) 선형 (SQL Injection) 선형 (File Upload) 선형 (Directory Traversal) 선형 (Stealth Commanding)Trend line(Cross Site Scripting) Trend line(SQL Injection) Trend line(File Upload) Trend line(Directory Traversal) Trend line(Stealth Commanding)

III. 2017年ウェブ攻撃動向分析

2. 主要攻撃元動向

上のグラフは、2017年1月1日から12月31日までウェブ攻撃の回数が20万件以上、ウェブ攻撃脅威のレベル基準によって点数を付

与し、80点以上の攻撃元を主要攻撃元(Black IP)と選定して、これらのウェブ攻撃の動向を分析した結果です。主要攻撃元(Black I

P)を選定し、彼らのウェブ攻撃動向をチェックする目的は、悪意的な攻撃者の行動は実際の被害を発生させる可能性が高いためで

す。したがって、主要攻撃元(Black IP)のウェブ攻撃の動向を注意深く見守る必要があります。

2017年のウェブ攻撃動向分析に基づいて主要攻撃元(Black IP)が使用したウェブ攻撃は、Stealth Commanding(41.04%)、

Directory Traversal(37.59%)、SQL Injection(14.18%)、Cross Site Scripting(3.99%)、File Upload(3.20%)の順です。

グラフで最も高い占有率を占めたStealth Commandingの攻撃は、ウェブアプリケーションがHTTP要請を受けて、該当情報を外部

に配信する際に主に起こります。攻撃者が該当情報に悪意的なコマンドを情報の一部として挿入すると、ウェブアプリケーションはこの

情報をそのまま外部プログラムに伝えて実行されます。攻撃者は、このような脆弱性を利用してトロイの木馬型ウイルスを植えたり、悪

性コードを実行することができます。これは、資料の削除、情報奪取などのサイバーテロにまでつながりかねない危険な攻撃です。主要

攻撃元(Black IP)は、Stealth Commanding攻撃を通じて、主要機関および顧客の個人情報を奪取するなど、単純なウェブ攻撃を

超えて金銭的な被害を狙ったものと推定されます。

最後にSQL Injection攻撃はInjectionのある技法で、許可されていないSQL文や業務と無関係のSQL文を実行することによって、

データベースを攻撃する手法です。最もありふれた攻撃でありながら、大量の情報流出が発生しうる攻撃手法なので、注意が必要で

す。

上記の内容の共通点は、脆弱性を利用して会社および個人の情報を奪取したり、サーバを掌握する目的でウェブ攻撃をするという

ことです。このように脆弱性を利用して情報流出を目的としたウェブ攻撃に対して予防し、事故発生の際はスピーディーに対応できるマ

ニュアルが必要です。

7

41.04%

37.59%

14.18%

3.99% 3.20%

年間BLACK IP主要ウェブ攻撃動向

Stealth Commanding Directory Traversal SQL Injection Cross Site Scripting File Upload

III. 2017年ウェブ攻撃動向分析

3. Black IP数の増減推移

上のグラフは、ウェブ攻撃で大きな被害を発生させる主要攻撃元(Black IP)数に対する増減の推移を示します。主要攻撃元(Black

IP)の増減推移を調べる理由は、主要攻撃元(Black IP)の数が増加することにより、ウェブ攻撃頻度も増加する可能性があるためです。

主要攻撃元(Black IP)の数が減少したり、または多くないとして、ウェブ攻撃頻度が減少することではありません。一人のハッカーがいく

つかのIPを使用することができ、一つの主要攻撃元(Black IP)だけでも大きな被害が発生することができるためです。

主要攻撃元(Black IP)を選定する基準によって増減傾向が異なる可能性があるおで、100%客観的なデータとは言えません。しかし、

主要攻撃元(Black IP)の増減推移と2017年度の特定事件との関連性などを連携して推定することにより、攻撃パターンを把握して、

今後類似のパターンおよび攻撃が予想される時期にウェブ攻撃に対するセキュリティをさらに強化することに役に立つはずです。

2017年度Black IP増減推移は、最大608件、少なくとも262件、平均391件という結果がでました。また、ここで興味深く観察しな

ければならない部分は、1月、4月、6~7月、12月です。2017年韓国で起きた事件と連携してみると、1)ブロックチェーン技術を活用し

た仮想通貨取引所のコインハッキングおよび会員情報の流出、2)金融業界対象のDDoS攻撃、データベース情報の公開、SQL Injec

tion攻撃、サービスのダウン、3)政治的な目的のサイバー攻撃等が重なっていることが分かります。

もちろん、各種事件とBlack IPとの関連性を明らかにすることには限界があります。しかし、多様なウェブ攻撃の危険性について、先

に備えて点検し、攻撃発生の際はマニュアルに従って、迅速かつ的確に対応できる準備をするのは当然のことです。このような準備は、

いつ起きるか分からない社会的問題と政治的事件、そしてこれと関連されているかもしれないウェブ攻撃に対する最善の対応になる

はずです。

8

511

390416

477

307

444

608

262 265302 309

401

0

100

200

300

400

500

600

700

1 2 3 4 5 6 7 8 9 10 11 12

Bla

ck IP

(Co

un

t)

月

月別BLACK IP数の増減推移

Black IP(Count)

III. 2017年ウェブ攻撃動向分析

4. 産業別ウェブ攻撃動向

上のグラフは、ウェブセキュリティ製品であるWAPPLESを使用している産業分野を基に、検知されたウェブ攻撃を分類してどの産業

分野でウェブ攻撃が相対的に多く発生したのかを示します。「ルール別ウェブ攻撃動向」と類似した動向です。したがって、攻撃検知の

割合が高い産業群では産業別攻撃動向を考慮した対策作りが必要です。

放送通信&映像サービス(25.96%)、公共行政サービス(25.29%)、金融(17.43%)、教育(16.28%)、科学技術(4.02%)、卸小売業

&製造(3.45%)の割合です。特に「産業別攻撃動向」でSQL Injectionの割合が高いことを見ると、顧客情報を数多く保有している

放送通信&映像サービス、公共行政サービス、金融、教育産業はウェブサイトと連結されたデータベースのデータを奪取しようとする試

みが多かったものと見られます。セキュリティ担当者は、顧客情報保護に格別な注意をしなければなりません。

上記で言及された産業とともに「産業別攻撃動向」の中で最も大きな割合を占めているSQL Injection攻撃の代表的な事例は、

韓国の宿泊施設検索・予約するアプリである「ヨギオテ(ここはどう)」からユーザの宿泊情報323件が流出された事件1)です。2017年3

月、「ヨギオテ(ここはどう)」をサービスするウィズイノベーションから会員の宿泊情報323件が流出されました。ハッカーは、アプリのサイトの

データベース脆弱性を悪用するSQL Injection攻撃を通じて、管理者固有の職別値を奪取しました。奪取した職別値を利用し、外部

に露出されたサービス管理ページにアクセスし、情報を流出しました。このようにSQL Injection攻撃は、個人情報を扱う企業を含めて

様々な業界から発生することができます。

また、金融、教育の場合は、File Upload攻撃を気をつけなければなりません。File Upload攻撃は、悪性ファイルをアップロードして

サーバシステムの権限を得たり、ウェブサイトを経由してウェブサイトのユーザのPCと端末機に悪性ファイルを配布することができます。この

ような攻撃は、その後、致命的な被害を誘発することができるため、格別な注意と対策作りが必要です。

9

1) 「ユーザの宿泊情報323件が流出」, http://www.hani.co.kr/arti/economy/it/787941.html, 2017年3月24日

25.29%

16.28%

17.43%

3.45%

25.96%

4.02%

7.57%

0.00% 10.00% 20.00% 30.00% 40.00% 50.00% 60.00% 70.00% 80.00% 90.00% 100.00%

공공행정서비스

교육

금융

도소매&제조

방송통신&영상서비스

과학기술

기타

産業別攻撃検知の割合

20.76%

46.79%4.03%

0.84%

27.58%

産業別攻撃動向

Cross Site Scripting SQL Injection

File Upload Directory Traversal

Stealth Commanding

その他

科学技術

放送通信&映像サービス

卸小売業&製造

金融

教育

公共行政サービス

III. 2017年ウェブ攻撃動向分析

5. 国家別ウェブ攻撃動向

上のグラフは、2017年国家別ウェブ攻撃動向に対する分析に先立ち、韓国から発信されたウェブ攻撃のルール別割合を見せます。

WAPPLES製品を使用するセキュリティ担当者だけでなく、WATT Reportを購読する読者の中でも韓国でウェブサービスを提供している

場合が多数を占めています。そのため、韓国から発信された攻撃のルールに対する分析をまとめてみました。

韓国で発信 された攻撃のルール別割合は、 SQL Injection(36.82%) 、 Cross Site Scripting(36.30%) 、 Stealth

Commanding(14.38%)、File Upload(11.77%)、Directory Traversal(0.74%)の順でした。これは、「ルール別ウェブ攻撃割合」の順

位と類似した傾向を見せます。

このような割合を基に韓国で提供されるサービスのセキュリティ担当者または韓国を対象とする企業及び機関のセキュリティ担当者

はSQL Injection(36.82%)、Cross Site Scripting(36.30%)が全体の7割を超えているだけに格別な注意が要求されます。先に示した

事例ではサービス業種でSQL Injection攻撃が頻繁に起こりました。このように、経済活動が活発に行われている分野には、ハッカーが

求める情報が多いため、攻撃対象になりやすいです。特に、韓国の場合、2017年からブロックチェーン技術を活用した仮想通貨関連

事業が活発に行われたことにより、多くのハッカーたちの攻撃対象になった可能性があるため、格別な注意が要求されます。

10

36.82%

36.30%

14.38%

11.77%

0.74%

韓国から発信された攻撃のルール別割合

SQL Injection Cross Site Scripting Stealth Commanding File Upload Directory Traversal

III. 2017年ウェブ攻撃動向分析

5. 国家別ウェブ攻撃動向

上のグラフは、2017年に検知された攻撃が発信された場所を大陸を基準に分類して示しています。グラフを見ると、昨年と同じく

ウェブ攻撃に対する検知数を基にアジア、アメリカ、ヨーロッパ、アフリカ、オセアニアの順番でウェブ攻撃が発生しました。特に、アジア、

ヨーロッパ、アメリカ大陸で多くのウェブ攻撃が発生しました。ハッカーは、経済活動が活発で、大陸間の交流が多い国家をウェブ攻撃

の出発地として利用したものと推測されます。したがって、セキュリティ管理者は特に上の３つの大陸から発信されるウェブ攻撃に備え

なければなりません。

また、大陸別の全体ウェブ攻撃の出発構成を見ると、SQL Injectionが最も大きい割合を占めており、次はCross Site Scripting、

Stealth Commanding、Directory Traversal、File Uploadの順番でした。さらに細分化して観察すると、アジアではFile Upload、

Cross Site Scripting、Stealth Commandingが、ヨーロッパではDirectory Traversal、SQL Injection、Stealth Commandingが、ア

メリカではSQL Injection攻撃が目立ちました。このような大陸単位の攻撃動向によって、セキュリティ対策を強化しなければなりません。

特に、過去から現在まで持続的に大きな割合を占めるSQL Injection、Cross Site Scriptingなどの攻撃に対して格別に関心を持つ

必要があります。

11

America Asia Africa Oceania Europe

Cross Site Scripting 11.35% 81.07% 0.23% 0.06% 7.29%

Directory Traversal 7.45% 60.51% 0.03% 0.02% 32.00%

File Upload 13.80% 84.15% 0.15% 0.00% 1.90%

SQL Injection 19.52% 49.93% 0.80% 0.02% 29.74%

Stealth Commanding 13.85% 66.70% 0.30% 0.03% 19.13%

11.35%

81.07%

0.23% 0.06%

7.29%7.45%

60.51%

0.03% 0.02%

32.00%

13.80%

84.15%

0.15% 0.00%1.90%

19.52%

49.93%

0.80% 0.02%

29.74%

13.85%

66.70%

0.30% 0.03%

19.13%

0.00%

10.00%

20.00%

30.00%

40.00%

50.00%

60.00%

70.00%

80.00%

90.00%

100.00%

攻撃ルールに対する攻撃発信の大陸割合

Cross Site Scripting Directory Traversal File Upload SQL Injection Stealth Commanding

アメリカ アジア アフリカ オセアニア ヨーロッパ

III. 2017年ウェブ攻撃動向分析

5. 国家別ウェブ攻撃動向

上のグラフは、2017年に検知された攻撃が発信された場所を大陸に区分して、攻撃発信の割合が上位の7位内に属する国々を

示したものです。これを通じて、どの国でどのようなウェブ攻撃が発信されたのかについて調べ、当該国家から発信されるウェブ攻撃に対

して備えることができます。

2016年のWATT Reportと比べて異なる点は、ウクライナとオランダが新たに登場したことです。アメリカ、中国、ロシア、日本は2016

年に続いて、ウェブ攻撃発信国家Top7に入りました。上記の表にはないが、2016年にTop6に属したフランス、マレーシアもTop15には

含まれました。したがって、多少の変化はあるが、「攻撃ルールに対する攻撃発信国の割合」の上位に属した国々が持続的なウェブ攻

撃発信地であることが分かります。

上のグラフを見ると、すべての国家で共通的にSQL Injection、Cross Site Scriptingの割合が相対的に高いです。また、アメリカ、中

国、ロシアなどの強大国が攻撃上位国家に位置していることが分かります。したがって、当該国家を対象にした対策を講じって、さらに

セキュリティを強化する必要があります。

そして、その他に属する国家はたくさんあります。上に言及されたTop7の国家のほかにも、多くの国家からウェブ攻撃が発生しかねな

いという意味です。したがって、以前紹介した内容を基に、主要国家だけでなく、すべての国家に対して逐次的にウェブ攻撃のセキュリ

ティ設定が必要です。

12

Korea USA China Ukraine Russia Japan Netherlands Others

Directory Traversal 5.45% 2.69% 2.23% 0.00% 2.03% 2.02% 2.01% 83.57%

File Upload 12.56% 2.77% 2.26% 2.03% 2.01% 2.10% 2.10% 74.17%

Stealth Commanding 13.43% 4.47% 2.86% 2.07% 2.11% 5.11% 2.30% 67.65%

Cross Site Scripting 21.75% 5.02% 3.98% 2.13% 2.26% 2.42% 2.64% 59.80%

SQL Injection 18.69% 11.84% 7.51% 5.10% 4.89% 4.44% 4.41% 43.12%

18.69%

11.84% 7.51% 5.10%4.89%

4.44% 4.41%

43.12%

21.75%

5.02%3.98%

2.13%

2.26%

2.42%

2.64%

59.80%

13.43%4.47% 2.86%

2.07%

2.11%5.11% 2.30%

67.65%

12.56% 2.77% 2.26%

2.03%

2.01%2.10%

2.10%

74.17%

5.45% 2.69% 2.23%0.00%

2.03% 2.02% 2.01%83.57%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

攻撃ルールに対する攻撃発信国家の割合

SQL Injection Cross Site Scripting Stealth Commanding File Upload Directory Traversal

ウクライナ ロシア 日本 オランダ韓国 アメリカ 中国 その他

III. 2017年ウェブ攻撃動向分析

6. 時間帯別ウェブ攻撃動向

上のグラフは、2017年検知されたウェブ攻撃の検知時間(Local Time)を基準に1時間ごとに区分して、時間帯別のウェブ攻撃の割

合を示したものであり、これを基にウェブ攻撃が発生する時間帯を見ることができます。

データを分析してみると、すべての時間帯で20万件以上のウェブ攻撃が検知されたことが分かります。これは、いつも多くのウェブ攻

撃が発生しており、これに備えなければならないということを意味します。特に、関心を持たなければならない時間は、11時00分から12

時30分、17時00分から18時30分です。昼休みや夕方、そして日課が終了された時間で、ウェブセキュリティ措置を速やかに取るのが

難しい時間です。

セキュリティを大事にする機関では24時間モニタリングを実施しているはずです。しかし、担当者の食事時間や交代時間、システム

点検によりセキュリティ機能を一時停止している時など、攻撃者が攻撃の機会と考える隙間はたくさんあります。

データからも見られるように24時間モニタリングを通じたウェブ攻撃の監視と、もし発生しうるウェブ攻撃に備えた対応マニュアルが揃

わなければなりません。また、対応マニュアルによる定期的訓練や非常時の訓練を通じて、ウェブ攻撃に対応できる能力を育成しなけ

ればなりません。このため、ウェブ攻撃の検知と分析が必要です。

13

0

100000

200000

300000

400000

500000

600000

0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

時間

時間帯別攻撃検知回数(24時間基準)

Attack Count攻撃回数

IV. 付録

1. 分析方法

1) データ収集方法・対象・期間

本WATT Report作成に使用されたデータは主にアジア・パシフィック地域に普及されたウェブアプリケーションファイアウォール

WAPPLESを通じて、2017年1月1日から2017年12月31日まで検知されたログを分析した結果です。

2) 前報告書との違い

本WATT Reportは、2015年まで発刊されたICS Reportと2016 WATT Reportを基に、ICSサーバで収集されるWAPPLES検知ルー

ルのログのみ活用して作成されました。 WAPPLES使用顧客、企業、機関のセキュリティ管理者など既存の読者とウェブセキュリティ動

向に興味を持っている国家・私設研究機関および大学研究室を含めた一般読者を対象として一般的で理解しやすく分析・作成さ

れました。今後、持続的な研究、分析を通じて情報をアップデートし、年間動向を発刊する予定です。今後、年間動向把握および

年度別動向比較資料として使用されることを目的としています。

3) 用語定義

▪ Cross Site Scripting (XSS)

紹介 :掲示板、ウェブメールなどに挿入された悪意のあるスクリプトを通じて、ユーザが求めない動作を行うようにする攻撃手法です。

例えば、ハッカーがサーバに悪性コードが含まれた文を作成するようになり、その内容を一般ユーザが読めば実行されるようになり、これに

よって一般ユーザの情報がハッカーに渡されます。

予想被害 :ユーザのクッキー奪取、ユーザのセッション奪取、スクリプトを通じた異常機能の遂行

▪ SQL Injection

紹介 : Injectionの手法の一つで、脆弱に開発されたウェブページの変数およびクライアントの入力値を操作して開発者が意図しな

いSQL Queryを実行することによって、データベースを攻撃できる攻撃手法です。最もありふれた攻撃でありながら、大量の情報流出が

発生しうる攻撃手法です。

予想被害 :権限外のデータ閲覧、操作、改ざん、システム権限の獲得、情報流出など

▪ File Upload

紹介 : ウェブアプリケーションのファイルアップロード機能を利用して、ハッカーがウェブサーバに悪性ファイルをアップロードした後、ホーム

ページにアクセスして遠隔でサーバコンピューターのシステム運営のコマンドを実行するようにする攻撃手法です。

予想被害: サーバーコンピューターのソース編集/閲覧、ファイルの名前変更、ファイルのコピー/削除、新規ファイル生成などの行為が可

能であり、特に、サーバコンピューターのソースをすべて削除する場合、サービス障害まで引き起こす可能性があります。

14

IV. 付録

▪ Directory Traversal

紹介 :情報流出を目的としてDirectoryを逆らい、管理者がユーザに見せたくないDirectoryやFileにアクセスし、確認したり実行する

攻撃手法です。

予想被害:上位フォルダに移動し、システムファイルにアクセス、ソースファイルの確認可能

▪ Stealth Commanding

紹介 : ウェブサーバのSystemコマンドを利用し、ウェブサーバ外部から攻撃者がウェブサーバで実行可能なコマンドを入力し、異常行

動を誘導したり、情報を獲得する攻撃手法です。Systemコマンドが適用されるパラメータにコマンドを注する方法で攻撃を行います。

予想被害:ウェブサーバの異常行動を誘導、情報流出

上記で紹介した技術用語はいずれも情報流出を通じた被害やサービスの障害などを発生させることができる脆弱性および攻撃手

法です。ペンタセキュリティで発刊したWATT Reportを基にして自体手なセキュリティ予防及び対策を設け、重要な企業情報や個人

情報を守らなければなりません。

15

IV. 付録

4) Black IP 一覧

16

ランキング 攻撃元IP 発信国 危険度点数

1 62.210.X.X France 97.32

2 195.154.X.X France 96.68

3 149.56.X.X United States 95.75

4 112.216.X.X Korea 95.69

5 5.10.X.X Netherlands 95.09

6 107.150.X.X United States 94.59

7 14.63.X.X Korea 92.42

8 91.200.X.X Ukraine 90.80

9 39.118.X.X Korea 89.88

10 72.246.X.X United States 89.37

11 221.234.X.X China 88.85

12 50.63.X.X United States 88.72

13 177.185.X.X Brazil 88.38

14 177.12.X.X Brazil 88.01

15 72.246.X.X United States 87.75

16 209.17.X.X United States 87.65

17 91.223.X.X Ukraine 87.53

18 184.168.X.X United States 87.21

19 91.151.X.X United Kingdom 87.07

20 43.248.X.X Hong Kong 86.91

21 98.19.X.X United States 86.78

22 211.252.X.X Korea 86.35

23 64.87.X.X United States 86.29

24 110.4.X.X Malaysia 86.16

25 52.78.X.X United States 85.80

26 88.202.X.X United Kingdom 85.69

27 61.111.X.X Korea 84.93

28 152.99.X.X Korea 84.68

29 61.111.X.X Korea 84.16

30 210.102.X.X Korea 84.00

31 205.144.X.X United States 83.78

32 72.246.X.X United States 83.67

33 212.247.X.X Sweden 82.98

34 119.203.X.X Korea 82.95

35 121.127.X.X Hong Kong 82.84

36 211.39.X.X Korea 81.91

37 211.252.X.X Korea 81.69

38 61.111.X.X Korea 81.19

39 210.102.X.X Korea 80.98

40 61.111.X.X Korea 80.75

Copyright Penta Security Systems Inc. All rights reserved.

Yeouido, Seoul www.pentasecurity.co.kr (HQ)

Houston, Texas www.pentasecurity.com

Shinjuku-Ku, Tokyo www.pentasecurity.co.jp

KOREA

U.S.A

JAPAN