管理番号 : XXXXXXXXXXXX-XXXX 株式会社殿 Palo Alto マネージメントサービス年月分月次レポート (Palo Alto ホスト名 ) All Rights Reserved,Copyright 2004,2015, Hitachi Solutions, Ltd

Similar documents

CloudEdgeあんしんプラス月次レポート解説書（1_0版） _docx

マルウェアレポート 2017年12月度版

プレゼンテーション

なぜIDSIPSは必要なのか？(v1.1）.ppt

プロキシ・ファイアウォール　　　　　　　通信許可対象サーバリスト

Symantec Endpoint Protection 12.1 の管理練習問題例題 1. 管理外検出でネットワーク上のシステムを識別するとき次のどのプロトコルが使用されますか a. ICMP b. TCP c. ARP a. UDP 2. ある管理者が Symantec Endpoint P

PowerPoint プレゼンテーション

マルウェアレポート 2018年1月度版

延命セキュリティ製品製品名お客様の想定対象 OS McAfee Embedded Control 特定の業務で利用する物理 PC 仮想 PC や Server 2003 Server 2003 ホワイトリスト型 Trend Micro Safe Lock 特定の業務で利用するスタンドアロン PC

<4D F736F F F696E74202D D352E8ED093E08AC28BAB835A834C A BAD89BB82CC8CE492F188C42E707074>

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

6-2- 応ネットワークセキュリティに関する知識 1 独立行政法人情報処理推進機構

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスしログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロードボ

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます注意 OpenVPN 接続は仮想 IP を使用しますローカル環境にて IP 設定が被らない事をご確認下さい万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

1. 電子版購読開始までの流れ ~PC スマートデバイス ~ ご購読の媒体によっては PC 版のみのご提供もしくはスマートデバイス版のみのご提供となります詳細は購読開始メールをご覧ください ~PC で閲覧する場合 ~ お手元に届く下記購読開始メールを参照してくださいログイン URL よりログイ

マルウェアレポート 2017年9月度版

metis ami サービス仕様書

PowerPoint プレゼンテーション

ESET Smart Security 7 リリースノート

PowerPoint プレゼンテーション

基本プラン向け ( インターネット接続管理バックアップメッセージ通知ウイルス対策 Web フィルター ) 2

2. 次期約確システムの利用端末環境の整備について次期約確システムにつきましては短資取引約定確認システムの更改に係る操作習熟試験実施について ( 平成 30 年 8 月 16 日付 ) においてご連絡のとおり本年 11 月中旬以降利用先の皆様にご参加いただく操作習熟試験を実施することになります

Microsoft PowerPoint - Logstorageé•£æ’ºã…‚ã……ã‡¯_for_SKYSEA_Client_View_ pptx

KDDI Smart Mobile Safety Manager ios キッティングマニュアル最終更新日 2018 年 12 月 13 日 Document ver1.0 (Web サイト ver.9.5.0)

感染条件感染経路タイプウイルス概要前のバージョン Adobe Reader and Acrobat より前のバージョン Adobe Reader and Acrobat before より前のバージョン Adobe Flash Player before

セキュリティを高めるための各種設定_表紙

< 目次 PC 版 > 1. 電子版購読開始までの流れ 2. ログインについて 3. マイページ画面について 4. 配信記事の閲覧 5. お客様マイページお気に入り記事 6. お客様マイページ基本情報設定 ( 各種設定 ) 7. メールアドレス変更 8. パスワードを忘れた場合 9. オプション機能

KDDI Smart Mobile Safety Manager Apple Business Manager(ABM) 運用マニュアル最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

SAMBA Remote(Mac) 編 PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます注意 OpenVPN 接続は仮想 IP を使用しますローカル環境にて IP 設定が被らない事をご確認下さい万が一仮想 IP とローカル環境 IP

Packet Tracer: 拡張 ACL の設定 : シナリオ 1 トポロジアドレステーブル R1 デバイスインターフェイス IP アドレスサブネットマスクデフォルトゲートウェイ G0/ N/A G0/

はじめに (1) フィッシング詐欺 ( フィッシング攻撃 ) とはフィッシング詐欺とはインターネットバンキングショッピングサイト等の利用者のアカウント情報 (ID パスワード等 ) やクレジットカードの情報等を騙し取る攻撃です典型的な手口としては攻撃者が本物のウェブサイトと似た偽のウェブ

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

マルウェアレポート 2018年2月度版

Microsoft PowerPoint - 【Webnner】はじめてのHULFT-WebFT.pptx

Microsoft Word - MyWebMedical40_client_guideIE8.doc

Windows Server 2003 Service Pack 適用手順書

ごあいさつこのたびは日本テレネット株式会社の AUTO 帳票 Custom をお使いいただきまことにありがとうございますお使いになる前に本書をよくお読みのうえ正しくお使いください本書の読み方本マニュアルは AUTO 帳票 Custom * を利用して FAX 送信管理を行う方のため

Attack Object Update

9. システム設定 9-1 ネットワーク設定 itmはインターネットを経由して遠隔地から操作を行ったり異常が発生したときに電子メールで連絡を受け取ることが可能ですこれらの機能を利用するにはiTM 本体のネットワーク設定が必要になります設定の手順を説明します 1. メニューリスト画面のシステム設

FIREWALLstaff製品紹介

Mobile Access IPSec VPN設定ガイド

MP:eMeeting インストールマニュアル Version /06/30 株式会社デジタルウントメア

<MW-400k > InterSec/MW400k アップデート適用手順書 2017 年 8 月 1 版

不正送金フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアムについて中ノ郷信用組合ではインターネットバンキングのセキュリティを高めるため不正送金フィッシング対策ソフト PhishWall( フィッシュウォール ) プレミアムをご提供しております ( ご利用は

改訂履歴版番号改訂日改訂者改訂内容年 2 月 12 日ネットワールド新規 I

KDDI Smart Mobile Safety Manager ( 基本プラン /4G LTE ケータイプラン ) オプション機能説明 2018 年 2 月 27 日現在 KDDI 株式会社 ver Copyright 2018 KDDI Corporation. All Rights

サマリレポート編 2

Net'Attest EPS設定例

IBM Internet Security Systems スパイウェア対策ソリューションのご紹介 ~ 多層保護で実現するスパイウェア対策 ~ Rev1.1 日本アイビーエム株式会社 ISS 事業部 Copyright IBM Corporation 2008

R80.10_FireWall_Config_Guide_Rev1

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

インターネット EDI システムを使用する前の準備目次動作環境について... 2 Internet Explorer7.0 / 8.0 をご利用の場合の設定方法... 3 [1] インターネット EDI システムを利用するための標準的な設定... 3 [2] ブラウザ型で帳票を利用する場合に必要

マジックコネクトクラウドサービス管理機能の利用手順(一般ユーザ用）

conf_example_260V2_inet_snat.pdf

PowerPoint プレゼンテーション

KDDI ホスティングサービス G120 KDDI ホスティングサービス G200 WordPress インストールガイド ( ご参考資料 ) rev.1.2 KDDI 株式会社 1

intra-mart EX申請システム version.7.2 事前チェック

サービス内容サービス内容ここではサービス内容についてご案内しますこのたびは本サービスをお申し込みいただきまして誠にありがとうございますこの手引きはサービスをご利用いただく方 ( 一般利用者 ) 向けの内容で構成されておりますお客様のご利用環境によってはご紹介した画面や操作とは異なる

【EW】かんたんスタートマニュアル

PowerPoint Presentation

Microsoft Word - 推奨環境.doc

Mobile Access簡易設定ガイド

SiteLock操作マニュアル

SHODANを悪用した攻撃に備えて－制御システム編－

V-Client for Android ユーザーズガイド

Microsoft Word - gred_security_report_vol17.final

UCSセキュリティ資料_Ver3.5

設定画面からネットワーク設定をタップします管理者パスワードをタップします管理者パスワードを入力して管理者としてログインします管理者パスワードを入力して管理者としてログインします IPv4 設定の IPv4 アドレスの値を確認しますネットワーク設定をタップしますもしくはホーム画

McAfee Application Control ご紹介

安全な Web サイトの作り方 7 版と Android アプリの脆弱性対策独立行政法人情報処理推進機構 (IPA) 技術本部セキュリティセンター Copyright 2015 独立行政法人情報処理推進機構

Stealthwatch System v6.9.0 内部アラーム ID

他の章は下記をクリックして PDF 一覧からお入り下さい IT ライブラリー (pdf 100 冊 ) 目次番号 270 番 Windows Server Enterprise 2008 R2 完全解説 ( 再入門 )

サービス内容サービス内容アルファメールダイレクトのサービス内容機能対応環境についてご案内します基本サービス管理者機能アルファメールダイレクトをご利用になる前にまず管理者の方がメールアドレスの登録や必要な設定を行いますすべての設定はホームページ上の専用フォームから行います < 主

desknet's NEO スマートフォン版セキュアブラウザについてセキュアブラウザはデスクネッツを自宅や外出先などから安全に利用するためのツール ( アプリ ) ですセキュアブラウザというアプリを使用してデスクネッツを利用します通常のブラウザアクセスと同じようにデスクネッツをご利用頂けま

4-5. ファイアウォール (IPv6)

4-4. ファイアウォール (IPv4)

WebARENA SuiteX V2 EC-CUBE 2.13 インストールマニュアル ( 標準 MySQL+ 非 SSL ) 作成 :2014 年 2 月 Ver.1.1

ポリシー保護PDF閲覧に関するFAQ

ご利用になる前にここではしんきん電子記録債権システムをご利用になる前に知っておいていただきたいことがらについて説明します 1 ご利用環境と動作条件の確認 2 2 初期設定とは 4 3 ソフトウェアキーボードの使いかた 6

インターネットフィルタリング簡単マニュアル

f-secure 2006 インストールガイド

ＷＥＢバンキングサービス

項目 1. 画面デザイン変更画面デザイン変更 ( ホーム ) 画面デザイン変更 ( ファイル一覧 ) 画面デザイン変更 ( 管理画面 )[ 管理者機能 ] 画面デザイン変更 ( ユーザー管理 )[ 管理者機能 ] 2. クライアントアクセス制限クライアントアクセス制限 [ 管理者機能 ] 3.

Transcription:

管理番号 : XXXXXXXXXXXX-XXXX 株式会社殿 Palo Alto マネージメントサービス年月分月次レポート (Palo Alto ホスト名 )

目次 1 ご契約サービス内容... 1 2 デバイス情報ならびに統計レポート期間... 1 3 診断結果... 2 4 アプリケーション通信遮断統計... 9 4.1 内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断統計レポート... 9 4.2 外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断統計レポート... 14 4.3 ルール別アプリケーション通信遮断統計レポート... 22 5 SPI 検知統計... 27 5.1 攻撃元 IP アドレス別検知統計レポート... 27 5.2 攻撃種類別検知統計レポート... 29 5.3 攻撃元 IP アドレス別ブロック統計レポート... 31 5.4 攻撃種類別ブロック統計レポート... 33 6 IDS/IPS 検知統計... 35 6.1 攻撃元 IP アドレス別検知統計レポート... 35 6.2 攻撃先 IP アドレス別検知統計レポート... 37 6.3 攻撃種類別検知統計レポート... 39 6.4 攻撃元 IP アドレス別ブロック統計レポート... 41 6.5 攻撃先 IP アドレス別ブロック統計レポート... 43 6.6 攻撃種類別ブロック統計レポート... 46 7 スパイウェア検知統計... 48 7.1 攻撃元 IP アドレス別検知統計レポート... 48 7.2 攻撃先 IP アドレス別検知統計レポート... 5 7.3 攻撃種類別検知統計レポート... 52

7.4 攻撃元 IP アドレス別ブロック統計レポート... 54 7.5 攻撃先 IP アドレス別ブロック統計レポート... 56 7.6 攻撃種類別ブロック統計レポート... 58 8 ウイルス検知統計... 6 8.1 攻撃元 IP アドレス別ウイルス検知統計レポート... 6 8.2 攻撃先 IP アドレス別ウイルス検知統計レポート... 63 8.3 攻撃種類別ウイルス検知統計レポート... 65 8.4 攻撃元 IP アドレス別ウイルスブロック統計レポート... 68 8.5 攻撃先 IP アドレス別ウイルスブロック統計レポート... 68 8.6 攻撃種類別ウイルスブロック統計レポート... 68 9 URL フィルタリング検知統計... 69 9.1 カテゴリ別 IP アドレス URL 検知統計レポート... 69 9.2 IP アドレス別 URL サイト検知統計レポート... 71 9.3 カテゴリ別 IP アドレスブロック統計レポート... 73 9.4 IP アドレス別 URL サイトブロック統計レポート... 75 1 ログイン認証統計... 77 1.1 ログイン失敗統計レポート... 77 1.2 ログイン成功統計レポート... 79 11 セキュリティ動向... 81 12 お問い合わせ先... 89

1 ご契約サービス内容月次レポートに関わるお客様のご契約サービスは以下の通りです表 1.1 ご契約サービス一覧 No 分類サービス名ご契約 1 アプリケーション通信遮断統計 2 SPI 検知統計 3 IDS/IPS 検知統計 4 月次レポートスパイウェア検知統計 5 ウイルス検知統計 6 URL フィルタリング検知統計 7 ログイン認証統計 2 デバイス情報ならびに統計レポート期間本レポートは下記 Palo Alto の各種統計情報になります表 2.1 デバイス情報一覧 No. 分類情報 1 機種名 2 ホスト名 3 PAN OS 4 IP アドレス 5 Serial#( シリアル番号 ) 6 設置場所本レポートは Palo Alto の内部で下記ネットワークアドレスを使用していることを想定しております表 2.2 Palo Alto の内部で使用しているネットワークアドレス一覧 No. 内部 IP アドレス No. 内部 IP アドレス No. 内部 IP アドレス 1 192.168.7./24 8 15 2 9 16 3 1 17 4 11 18 5 12 19 6 13 2 7 14 21 本レポートは下記期間の統計情報のレポートになります表 2.3 レポート期間 No. 分類情報 1 レポート期間 - 1 -

3 診断結果診断者 : ネットワークビジネス部 XXX XXX 診断結果の要点を纏めています全体的な状況を把握した上で詳細な診断結果の内容をご参照下さい表 3.1 診断結果要点早見表 No. サービス名ステイタスアイコン概要 1 アプリケーション通信遮断統計 2 SPI 検知統計 3 IDS/IPS 検知統計 4 スパイウェア検知統計 5 ウイルス検知統計 6 URL フィルタリング検知統計 7 ログイン認証統計ピアツーピア (P2P) ファイル共有アプリケーションを使用した通信が突発的に発生していますアタックの検知状況についてご確認頂き閾値の設定変更を推奨いたします攻撃対象の PC が脆弱性攻撃を受けている可能性があるため調査頂くことを推奨致します対象の PC がスパイウェアに感染している可能性があるため調査頂くことを推奨致します IP アドレス 192.168.121.15 を送信元とした通信でウイルスを 31 件検知しています IP アドレス 192.168.4.2 が Facebook へ複回アクセスを試みていますログイン認証の成功 / 失敗状況についてご確認下さいステイタスアイコンの概要 - ヘルプカード - 異常は検知しておらず良好な状態と判断できることを示しています - 状況を把握するために確認をご推奨することを示しています - 重要な内容を記載しています必ずご確認頂きたい事項を示していますステイタスアイコンの結果は絶対の安全や継続した安全を保証するものではありません - 2 -

(1) 4 アプリケーション通信遮断統計 (P9 を参照 ) 1 4.1 内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断統計レポート (P9 を参照 ) 12 月 8 日 ( 火 ) に送信元 IP アドレス 192.168.7.1 からのアプリケーション bittorrent を使用した通信が突発的に発生しています bittorrent は大容量ファイルの配布効率を高める目的で作成されたピアツーピア (P2P) ファイル共有アプリケーションです本アプリケーションを使用したシステムは本来 RedHatLinux の最新版リリースの配布等正当な理由にて使用されていますが海外 ( 特に中国 ) ではオンラインで ( 違法合法に関わらず ) 大容量のファイルを交換が行われています宛先 IP アドレスについて調査したところ組織名が中国に属する通信であることから社内からの不正利用が考えるため送信元 IP アドレスについて調査頂くことを推奨いたします内部クライアント / サーバに生成されたプロトコルイベントの推移 192.168.7.1 6, 5, 4, 3, 2, 1, 12 月 8 日 ( 火 ) に bittorrent を使用した通信の遮断が突発的に発生しています 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日 192.168.7.33 192.168.7.82 192.168.7.51 192.168.7.88 図 3.1 内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の推移 2 4.3 ルール別アプリケーション通信遮断統計レポート (P22 を参照 ) 全ての内部 IP について同様のアプリケーションを使用した通信遮断が行われる傾向にあり最も多く遮断しているアプリケーションは bittorrent ですプロトコルによってトリガされたファイアウォールルールの推移 rule1 2, 1,8 1,6 1,4 1,2 1, 8 6 4 2 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 3.2 ルール別アプリケーション通信遮断の推移 rule6 rule3 rule2 rule4-3 -

今月遮断件の多いアプリケーションについてアプリケーションの説明を表 3.2 に示します表 3.2 アプリケーションの説明 No. アプリケーション名 1 bittorrent 2 youtube 説明 BitTorrent はピアツーピア (P2P) ファイル共有通信プロトコルですハードウェアホスティングおよびネットワークリソース等を元の配布者が負担せずに大量のデータを広く配信することを目的としていますその代わり BitTorrent プロトコルを使用してデータを配信するときは各受信者がデータの一部を新しい受信者に提供することで任意の個別リソースにかかるコストおよび負担を軽減していますまたシステムの問題に対する冗長性を提供し元の配布者への依存性も軽減していますこのプロトコルはプログラマである Bram Cohen 氏の考案によるもので 21 年 4 月に設計され同年 7 月に初めて実装されました現在は Cohen 氏の企業 BitTorrent, Inc. によってメンテナンスされていますインターネット上のかなりのトラフィックをこのプロトコルの使用が占めていますが正確な量の測定は難しいことが証明されています utorrent BitComet Deluge TurboBT および Transmission 等さまざまなプログラミング言語で記述されさまざまなコンピュータプラットフォーム上で動作する互換 BitTorrent クライアントが多存在します YouTube はユーザがビデオクリップをアップロード視聴共有できる人気がある無料のビデオ共有ウェブサイトですビデオを評定できますそしてビデオが監視されたという回の平均評価とは共に発行されます 3 skype スカイプは SIP や IAX や H.323 等の VoIP プロトコルを開くためにインターネット電話同様の独占ピアツーピアです (2) 5 SPI 検知統計 (P27 を参照 ) Palo Alto のアタック検知およびブロックが 12 月 17 日 ( 木 ) より発生していません 17 日前後でログインが成功した履歴は弊社監視センタにて取得していないため設定変更は行われていないと考えられます 1 5.1 攻撃元 IP アドレス別検知統計レポート (P27 を参照 ) 1 つの IP アドレスからの SCAN 攻撃が集中的に検知しています本通信は Palo Alto にて許可されているため攻撃対象の端末は攻撃を受けている可能性が考えられます攻撃元 IP アドレスについて調査頂き閾値を変更頂くことを推奨いたします攻撃元別攻撃イベントの推移 1.212.2.17 7, 6, 5, 4, 3, 2, 1,... 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 3.3 攻撃元 IP アドレス別アタック発生の推移 - 4 -

2 5.2 攻撃種類別検知統計レポート (P29 を参照 ) 全てのアタックについて同様の傾向で推移しています表 3.3 に示す攻撃先 IP アドレスがアタックによる影響を受けていないか調査頂くことを推奨いたします攻撃種類別攻撃先の推移 flood 2,2 2, 1,8 1,6 1,4 1,2 1, 8 6 4 2 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 3.4 攻撃種類別攻撃先の推移 SCAN: TCP Port Scan(81) SCAN: UDP Port Scan(83) SCAN: Host Sweep(82) 表 3.3 攻撃を受けている可能性のある IP アドレス No. 攻撃種別攻撃先 IP アドレス 1 SCAN: TCP Port Scan(81) 1.212.2.19 2 SCAN: UDP Port Scan(83) 1.212.2.19 3 SCAN: Host Sweep(82) 172.16.1.2 3 5.3 攻撃元 IP アドレス別ブロック統計レポート (P31 を参照 ) 1 つの IP アドレスからの SCAN 攻撃が集中的に検知しています本通信は Palo Alto にてブロックされているため攻撃対象の端末は安全であると判断いたします 12, 11, 1, 9, 8, 7, 6, 5, 4, 3, 2, 1, 攻撃元別攻撃イベントの推移 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 3.5 攻撃元 IP アドレス別アタック発生の推移... 1.212.2.17-5 -

(3) 6 IDS/IPS 検知統計 (P35 を参照 ) 1 6.2 攻撃先 IP アドレス別検知統計レポート (P37 を参照 ) 12 月 2 日 ( 日 ) に脆弱性攻撃 Adobe Acrobat and Adobe Reader U3D RHAdobeMeta Buffer Overflow(3267) を突発的に検知しています ( 図 3.6 参照 ) 本通信は Palo Alto にてブロックしておらず攻撃先 IP アドレス 192.168.7.2 に何らかの影響を及ぼしている可能性があります表 3.4 に脆弱性攻撃の詳細を示します攻撃先 IP アドレスについて影響が起きていないか本攻撃に対して対策が行われているかご確認頂き Palo Alto の設定変更の必要性について見当頂くことを推奨致します 4 36 32 28 24 2 16 12 8 4 攻撃元別攻撃イベントの推移 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 3.6 攻撃先 IP アドレス別脆弱性攻撃発生の推移 12 月 2 日 ( 日 ) に突発的な脆弱性攻撃を受けています表 3.4 脆弱性攻撃の詳細 No. 脆弱性攻撃詳細 1 Adobe Acrobat and Adobe Reader U3D RHAdobeMeta Buffer Overflow(3267) Adobe Acrobat と Adobe Reader はある種の細工された.pdf ファイルの解析間にオーバーフローの脆弱性を受けやすい性質がありますこの脆弱性は pdf ファイル内の U3D RHAdobeMeta の適切なチェックが欠けていることが原因で結果的にセキュリティーホールとなるオーバーフローが引き起こされます攻撃者は細工された.pdf ファイルを送信することにより脆弱性の攻撃が可能です攻撃が成功した場合ログインしているユーザの特権でリモートからコードが実行されます - 6 -

(4) 7 スパイウェア検知統計 (P48 を参照 ) 1 7.1 攻撃元 IP アドレス別検知統計レポート (P48 を参照 ) 12 月 2 日 ( 日 ) にスパイウェア Music_Starware_Toolbar Initial request to server on startup of IE(11912) を突発的に検知しています ( 図 3.6 参照 ) 本スパイウェアは Web ブラウザから有害なサイトにアクセスした際に感染する可能性があるため攻撃元となっている内部 IP アドレス 192.168.7.15, 192.168.7.19, 192.168.7.16 に何らかの影響を及ぼしている可能性があります表 3.4 に脆弱性攻撃の詳細を示します攻撃元 IP アドレスについて影響が起きていないか本攻撃に対して対策が行われているかご確認頂き Palo Alto の設定変更の必要性について見当頂くことを推奨致します攻撃元別攻撃イベントの推移 192.168.7.15 7 6 5 4 192.168.7.19 3 2 1 192.168.7.16 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 3.6 攻撃先 IP アドレス別スパイウェア発生の推移表 3.4 スパイウェアの詳細 No. スパイウェア詳細 1 Music_Starware_Toolbar Initial request to server on startup of IE(11912) このシグネチャは spyware Music Starware toolbar のランタイムの振る舞いを検知します Music Starware toolbar は IE ブラウザのハイジャッカーですこのスパイウェアは IE auto search search assistant 一般的なサーチエンジンをハイジャックし音楽に関連したサーチエンジンにリダイレクトしますまたこのスパイウェアはユーザのブラウジングの癖を情報収集のためリモートサーバへに送信します Starware toolbar はユーザの同意無しに自身のコントロールサーバから定期的にアップデートをダウンロードします (5) 8 ウイルス検知統計 (P6 を参照 ) 1 8.1 攻撃元 IP アドレス別ウイルス検知統計レポート (P6 を参照 ) IP アドレス 192.168.121.15 が送信元となった通信のウイルス検知を 31 件検知していますその中でも特に検知の多かったウイルスは Trojan/Js.Agent.mkxi(259133) の 25 件でしたその外にもプライベート IP アドレスが送信元となった通信で多ウイルスを検知しています検知した送信元 IP アドレスの PC に対してウイルススキャン等を実施することを推奨致します - 7 -

(6) 9 URL フィルタリング検知統計 (P69 を参照 ) 1 9.1 カテゴリ別 IP アドレス URL 検知統計レポート (P69 を参照 ) 今月最も多く検知した URL カテゴリは search-engines の 156 件でその中で最もアクセスした IP アドレスは 192.168.4.2 の 7 件でした業務に関わる調査で search-engines カテゴリへのアクセスが考えられるため特に問題は無いと考えますが業務外の Web 閲覧で使用している可能性もあるため検知の多い IP アドレスに対しては継続して件の推移をご確認頂くことを推奨致します 2 9.2 IP アドレス別 URL サイト検知統計レポート (P71 を参照 ) 今月最も多く検知した IP アドレスは 192.168.4.1 の 94 件でその中で最もアクセスしたサイトは Google でした Google は検索サイトで特に危険は無いと判断しますが 2 番目に多く検知された youtube は動画サイトであり業務に関係している可能性は低いため IP アドレス 192.168.4.1 が不必要に動画サイトを閲覧していないかご確認頂くことを推奨致します 3 9.3 カテゴリ別 IP アドレスブロック統計レポート (P73 を参照 ) 今月最も多くブロックした URL カテゴリは Personals & Dating の 94 件で IP アドレス 192.168.4.2 と 192.168.4.1 が通信のアクセス元になっております Personals & Dating は出会い系となり業務とは関係ない通信を試みたことが考えられますがブロックしているためアクセスは行えておりません 4 9.4 IP アドレス別 URL サイトブロック統計レポート (P75 を参照 ) 今月最も多くブロックした IP アドレスは 192.168.4.2 の 78 件でその中で最もアクセスしたサイトは facebook でした Facebook はソーシャルネットワーク (SNS) であり人と人とのつながりを促進サポートするコミュニティ型の Web サイトです一般的に業務とは異なる目的でアクセスしていることが考えられ対象の IP アドレスを使用するユーザに何故 facebook にアクセスを試みたかご確認頂くことを推奨致します (7) 1 ログイン認証統計 (P77 を参照 ) 1 1.1 ログイン失敗統計レポート (P77 を参照 ) 今月は 46 回のログイン失敗が発生していますログイン元 IP アドレスについて調査頂くことを推奨いたします表 3.4 ログイン失敗の概要 No. 日付ログイン元 IP アドレス 1.212.2.17 1.12.12.7 1 12 月 1 日 ( 火 ) 4 2 12 月 2 日 ( 水 ) 6 3 12 月 1 日 ( 木 ) 14 4 12 月 23 日 ( 水 ) 22 合計 4 6 2 1.2 ログイン成功統計レポート (P79 を参照 ) 今月は 8 回のログイン成功を検知していますログイン成功が意図したものであるかご確認頂くことを推奨いたします表 3.5 ログイン成功の概要 No. 日付ログイン元 IP アドレス 1.212.2.17... 1 12 月 1 日 ( 火 ) 5 2 2 12 月 2 日 ( 日 ) 1 合計 6 2-8 -

4 アプリケーション通信遮断統計 4.1 内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断統計レポートこのページはサービス開始時にお客様よりヒアリングした Palo Alto の内部で使用している IP アドレスが送信元もしくは宛先に含まれる通信を Palo Alto によって最も多く遮断した IP アドレスならびにアプリケーション / プロトコルの統計を示します縦軸は通信が遮断された回横軸は通信が遮断された際 Palo Alto に設定されていた日付を示していますもし通信を許可するべき IP アドレスやアプリケーション / プロトコルが存在する場合は Palo Alto のルール設定の見直しを推奨致しますまた特定の IP アドレスから異常な通信が継続的に行われている場合はウイルスに感染している可能性も考えられます対象の IP アドレスに対して調査することを推奨致します内部クライアント / サーバに生成されたプロトコルイベントの推移 192.168.7.1 6, 5, 4, 3, 2, 192.168.7.33 192.168.7.82 192.168.7.51 1, 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日 192.168.7.88 図 4.1.1 内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の推移内部クライアント / サーバに生成されたプロトコルイベント 48, 44, 4, 36, 32, 28, 24, 2, 16, 12, 8, 4, 1 2 3 1 2 3 4 5 6 種別 4 5 6 図 4.1.2 内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要上記グラフ中のに続く種別は下記内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表の項番とリンクしています - 9 -

表 4.1.1 内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要内部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント 1. 192.168.7.1 bittorrent(udp)(src) 19,623 31.67% vnc(udp)(src) 2,771 4.47% not-applicable(udp/port:5)(src) 2,573 4.15% not-applicable(udp/port:23) (src) 2,355 3.8% not-applicable(udp/port: )(src) 2,273 3.66% not-applicable(udp/port:53)(src) 2,54 3.31% not-applicable(tcp/port:1212)(src) 2,45 3.3% youtube(tcp)(src) 1,938 3.12% not-applicable(tcp/port:8)(src) 1,331 2.14% not-applicable(udp/port:88)(src) 1,318 2.12% not-applicable(tcp/port:88)(src) 1,267 2.4% not-applicable(tcp/port:137)(src) 1,251 2.1% not-applicable(udp/port:37)(src) 1,232 1.98% not-applicable(udp/port:178)(src) 1,19 1.79% not-applicable(tcp/port:51)(src) 913 1.47% not-applicable(udp/port:4852)(src) 849 1.37% not-applicable(udp/port:53628)(src) 82 1.29% not-applicable(tdp/port:49235)(src) 797 1.28% skype(tcp)(src) 623 1.% not-applicable(udp/port:5523)(src) 383.61% 小計 47,57 76.68% その他 285.46% 合計 47,792 77.14% 2. 192.168.7.33 bittorrent(udp)(src) 2,474 3.99% vnc(udp)(src) 296.47% not-applicable(udp/port:5)(src) 284.45% not-applicable(udp/port:23) (src) 26.42% not-applicable(udp/port: )(src) 238.38% not-applicable(udp/port:53)(src) 232.37% not-applicable(tcp/port:1212)(src) 231.37% youtube(tcp)(src) 168.27% not-applicable(tcp/port:8)(src) 158.25% not-applicable(udp/port:88)(src) 155.25% not-applicable(tcp/port:88)(src) 153.24% not-applicable(tcp/port:137)(src) 148.23% not-applicable(udp/port:37)(src) 143.23% not-applicable(udp/port:178)(src) 112.18% not-applicable(tcp/port:51)(src) 1.16% not-applicable(udp/port:4852)(src) 84.13% not-applicable(udp/port:53628)(src) 76.12% not-applicable(tdp/port:49235)(src) 7.11% not-applicable(tcp/port:139)(src) 28.4% not-applicable(udp/port:5523)(src) 15.2% 小計 5,425 8.75% - 1 -

内部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベントその他 19.3% 合計 5,444 8.78% 3. 192.168.7.82 bittorrent(udp)(src) 1,625 2.62% not-applicable(tcp/port:1812)(src) 927 1.49% not-applicable(udp/port:5)(src) 748 1.2% not-applicable(udp/port:23) (src) 677 1.9% not-applicable(udp/port: )(src) 533.86% not-applicable(udp/port:53)(src) 78.12% not-applicable(tcp/port:1212)(src) 38.6% youtube(tcp)(src) 21.3% not-applicable(tcp/port:8)(src) 1.1% not-applicable(udp/port:88)(src) 1.1% not-applicable(tcp/port:88)(src) 1.1% not-applicable(tcp/port:137)(src) 1.1% not-applicable(udp/port:37)(src) 1.1% not-applicable(udp/port:178)(src) 9.1% not-applicable(tcp/port:51)(src) 5.% not-applicable(udp/port:4852)(src) 4.% not-applicable(udp/port:53628)(src) 4.% not-applicable(tdp/port:49235)(src) 4.% not-applicable(tcp/port:139)(src) 4.% not-applicable(udp/port:5523)(src) 4.% 小計 4,731 7.63% その他 7.1% 合計 4,738 7.64% 4. 192.168.7.51 not-applicable(udp/port:5)(src) 2,31 3.27% not-applicable(udp/port:23) (src) 62.97% not-applicable(udp/port: )(src) 181.29% not-applicable(udp/port:53)(src) 165.26% not-applicable(tcp/port:1212)(src) 17.17% youtube(tcp)(src) 94.15% not-applicable(tcp/port:8)(src) 85.13% not-applicable(udp/port:88)(src) 78.12% not-applicable(tcp/port:88)(src) 42.6% not-applicable(tcp/port:137)(src) 36.5% not-applicable(udp/port:37)(src) 28.4% not-applicable(udp/port:178)(src) 18.2% not-applicable(tcp/port:51)(src) 17.2% not-applicable(udp/port:4852)(src) 13.2% その他.% 合計 3,497 5.64% 5. 192.168.7.88 bittorrent(udp)(src) 127.2% not-applicable(udp/port:5)(src) 4.6% not-applicable(udp/port:23) (src) 22.3% not-applicable(udp/port: )(src) 22.3% - 11 -

内部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント not-applicable(udp/port:53)(src) 21.3% not-applicable(tcp/port:1212)(src) 16.2% youtube(tcp)(src) 16.2% not-applicable(tcp/port:8)(src) 15.2% not-applicable(udp/port:88)(src) 15.2% not-applicable(tcp/port:88)(src) 14.2% not-applicable(tcp/port:137)(src) 12.1% not-applicable(udp/port:37)(src) 9.1% not-applicable(udp/port:178)(src) 8.1% not-applicable(tcp/port:51)(src) 7.1% not-applicable(udp/port:4852)(src) 6.1% not-applicable(udp/port:53628)(src) 5.% not-applicable(tdp/port:49235)(src) 4.% not-applicable(tcp/port:139)(src) 3.% not-applicable(udp/port:5523)(src) 3.% not-applicable(udp/port:5)(src) 2.% 小計 367.59% その他 2.% 合計 369.59% 6. 192.168.7.93 bittorrent(udp)(src) 38.6% not-applicable(udp/port:5)(src) 14.2% not-applicable(udp/port:23) (src) 11.1% not-applicable(udp/port: )(src) 4.% not-applicable(udp/port:53)(src) 4.% not-applicable(tcp/port:1212)(src) 4.% youtube(tcp)(src) 4.% not-applicable(tcp/port:8)(src) 4.% not-applicable(udp/port:88)(src) 4.% not-applicable(tcp/port:88)(src) 4.% not-applicable(tcp/port:137)(src) 4.% not-applicable(udp/port:37)(src) 4.% not-applicable(udp/port:178)(src) 4.% not-applicable(tcp/port:51)(src) 3.% not-applicable(udp/port:4852)(src) 3.% not-applicable(udp/port:53628)(src) 2.% not-applicable(tdp/port:49235)(src) 1.% その他.% 合計 112.18% 合計 61,952 1.% - 12 -

内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要 - ヘルプカードクライアント / サーバサービス開始時にお客様よりヒアリングした Palo Alto の内部で使用している IP アドレスを表しますアプリケーション / プロトコルコンピュータ同士の通信で使用したアプリケーションおよびプロトコルの名称を表しますプロトコル名の後に (src) と (dst) が付与されます (src) はクライアント / サーバが通信の送信元であることを表し (dst) はクライアント / サーバが通信の宛先であることを表しますルールにアプリケーションをご指定頂いていない場合アプリケーション名は not-applicable と表示します not-applicable のようにアプリケーションが特定できないものについては通信で使用するポート番号を付与して表示しますイベント送信元もしくは宛先に内部 IP アドレスが含まれる通信を遮断した回を表しますその他内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表に記述されなかった通信遮断件の合計を表します全ての通信遮断件が表記されている場合本見出しは表示されません合計内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表にて表の列に記述してあるその他を含めた通信遮断件の合計を表します小計内部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表にて表の列に記述してあるその他を含めない通信遮断件の合計を表します全ての通信遮断件が表記されている場合本見出しは表示されませんこのページは内部 IP アドレスが送信元もしくは宛先に含まれる通信を Palo Alto によって最も頻繁に遮断された IP アドレスならびにアプリケーション / プロトコルを示します特定のアプリケーション / プロトコルを使用した内部 IP アドレスの通信量がわかるためウイルスの感染や不正なアクセスを試みている内部 IP アドレスを特定することに役立ちます注意 Palo Alto にて発生した通信の送信元と宛先が共に内部アドレスとして記録されているイベントはこの表では 2 回としてカウントされます送信元と宛先共に Palo Alto の外部 IP アドレスとして記録されているイベントはこの表に表示されません - 13 -

4.2 外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断統計レポートこのページは Palo Alto の外部で使用されている IP アドレスが送信元もしくは宛先に含まれる通信を Palo Alto によって最も多く遮断した IP アドレスならびにアプリケーション / プロトコルの統計を示します縦軸は通信が遮断された回横軸は通信が遮断された際 Palo Alto に設定されていた日付を示していますもし通信を許可するべき IP アドレスやアプリケーション / プロトコルが存在する場合 Palo Alto のルール設定の見直しを推奨致しますまた特定の IP アドレスから異常な通信が継続的に行われている場合はウイルスに感染している可能性も考えられます対象の IP アドレスに対して調査することを推奨致します外部クライアント / サーバによるプロトコルイベントの推移 192.168.76.99 8, 7, 192.168.47.9 6, 5, 4, 3, 2, 1, 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日 192.168.182.8 192.168.65.66 192.168.77.66 図 4.2.1 外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の推移外部クライアント / サーバによるプロトコルイベント 7, 6, 5, 4, 3, 2, 1, 2 4 6 8 1 12 14 16 18 2 1 3 5 7 9 11 13 15 17 19 種別 1 2 3 4 5 6 7 8 9 1 11 12 13 14 15 16 17 18 19 2 図 4.2.2 外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要上記グラフ中のに続く種別は下記外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表の項番とリンクしています - 14 -

表 4.2.1 外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要外部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント 1. 192.168.76.99 bittorrent(udp)(dst) 29,918 18.73% not-applicable(udp/port:52)(src) 3,97 2.48% not-applicable(udp/port:5)(src) 3,642 2.28% not-applicable(udp/port:23) (src) 3,579 2.24% not-applicable(udp/port: )(src) 3,4 1.88% not-applicable(udp/port:53)(src) 3, 1.87% not-applicable(tcp/port:1212)(src) 2,946 1.84% youtube(tcp)(src) 1,994 1.24% not-applicable(tcp/port:8)(src) 1,898 1.18% not-applicable(udp/port:88)(src) 1,888 1.18% not-applicable(tcp/port:88)(src) 1,855 1.16% not-applicable(tcp/port:137)(src) 1,539.96% not-applicable(udp/port:37)(src) 1,428.89% not-applicable(udp/port:178)(src) 1,386.86% not-applicable(tcp/port:51)(src) 1,25.75% not-applicable(udp/port:4852)(src) 1,68.66% not-applicable(udp/port:53628)(src) 1,53.65% not-applicable(tdp/port:49235)(src) 933.58% skype(tcp)(src) 33.2% not-applicable(udp/port:5523)(src) 126.7% 小計 66,762 41.8% その他 284.17% 合計 67,46 41.98% 2. 192.168.47.9 bittorrent(udp)(dst) 19,31 12.8% not-applicable(udp/port:52)(src) 3,96 1.93% not-applicable(udp/port:5)(src) 2,53 1.58% not-applicable(udp/port:23) (src) 2,122 1.32% not-applicable(udp/port: )(src) 1,855 1.16% not-applicable(udp/port:53)(src) 1,826 1.14% not-applicable(tcp/port:1212)(src) 1,585.99% youtube(tcp)(src) 1,321.82% not-applicable(tcp/port:8)(src) 1,39.82% not-applicable(udp/port:88)(src) 1,213.76% not-applicable(tcp/port:88)(src) 1,89.68% not-applicable(tcp/port:137)(src) 762.47% not-applicable(udp/port:37)(src) 712.44% not-applicable(udp/port:178)(src) 636.39% not-applicable(tcp/port:51)(src) 595.37% not-applicable(udp/port:4852)(src) 258.16% not-applicable(udp/port:53628)(src) 22.12% not-applicable(tdp/port:49235)(src) 17.1% skype(tcp)(src) 71.4% not-applicable(udp/port:5523)(src) 67.4% 小計 4,72 25.49% - 15 -

外部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベントその他 73.4% 合計 4,793 25.54% 3. 192.168.182.8 bittorrent(udp)(dst) 5,55 3.16% not-applicable(udp/port:52)(src) 1,124.7% not-applicable(udp/port:5)(src) 1,84.67% not-applicable(udp/port:23) (src) 995.62% not-applicable(udp/port: )(src) 99.56% not-applicable(udp/port:53)(src) 756.47% not-applicable(tcp/port:1212)(src) 675.42% youtube(tcp)(src) 648.4% not-applicable(tcp/port:8)(src) 64.4% not-applicable(udp/port:88)(src) 57.35% not-applicable(tcp/port:88)(src) 511.32% not-applicable(tcp/port:137)(src) 377.23% not-applicable(udp/port:37)(src) 339.21% not-applicable(udp/port:178)(src) 263.16% not-applicable(tcp/port:51)(src) 183.11% not-applicable(udp/port:4852)(src) 164.1% not-applicable(udp/port:53628)(src) 163.1% not-applicable(tdp/port:49235)(src) 136.8% skype(tcp)(src) 65.4% not-applicable(udp/port:5523)(src) 51.3% 小計 14,78 9.21% その他 39.2% 合計 14,747 9.23% 4. 192.168.65.66 bittorrent(udp)(dst) 3,58 2.24% not-applicable(udp/port:52)(src) 776.48% not-applicable(udp/port:5)(src) 732.45% not-applicable(udp/port:23) (src) 652.4% not-applicable(udp/port: )(src) 558.34% not-applicable(udp/port:53)(src) 55.34% not-applicable(tcp/port:1212)(src) 444.27% youtube(tcp)(src) 439.27% not-applicable(tcp/port:8)(src) 428.26% not-applicable(udp/port:88)(src) 412.25% not-applicable(tcp/port:88)(src) 32.2% not-applicable(tcp/port:137)(src) 287.18% not-applicable(udp/port:37)(src) 179.11% not-applicable(udp/port:178)(src) 147.9% not-applicable(tcp/port:51)(src) 122.7% not-applicable(udp/port:4852)(src) 119.7% not-applicable(udp/port:53628)(src) 9.5% not-applicable(tdp/port:49235)(src) 86.5% skype(tcp)(src) 41.2% not-applicable(udp/port:5523)(src) 25.1% - 16 -

外部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント小計 9,987 6.25% その他 2.% 合計 9,989 6.25% 5. 192.168.77.66 bittorrent(udp)(dst) 3,71 2.32% not-applicable(udp/port:52)(src) 438.27% not-applicable(udp/port:5)(src) 435.27% not-applicable(udp/port:23) (src) 373.23% not-applicable(udp/port: )(src) 333.2% not-applicable(udp/port:53)(src) 326.2% not-applicable(tcp/port:1212)(src) 31.19% youtube(tcp)(src) 299.18% not-applicable(tcp/port:8)(src) 266.16% not-applicable(udp/port:88)(src) 258.16% not-applicable(tcp/port:88)(src) 242.15% not-applicable(tcp/port:137)(src) 223.14% not-applicable(udp/port:37)(src) 188.11% not-applicable(udp/port:178)(src) 153.9% not-applicable(tcp/port:51)(src) 151.9% not-applicable(udp/port:4852)(src) 135.8% not-applicable(udp/port:53628)(src) 118.7% not-applicable(tdp/port:49235)(src) 11.6% skype(tcp)(src) 66.4% not-applicable(udp/port:5523)(src) 42.2% 小計 8,167 5.11% その他 49.3% 合計 8,216 5.14% 6. 192.168.44.9 bittorrent(udp)(src) 1,869 1.17% not-applicable(udp/port:52)(src) 943.59% not-applicable(udp/port:5)(src) 665.41% not-applicable(udp/port:23) (src) 644.4% not-applicable(udp/port: )(src) 566.35% not-applicable(udp/port:53)(src) 7.4% not-applicable(tcp/port:1212)(src) 37.2% youtube(tcp)(src) 35.2% not-applicable(tcp/port:8)(src) 32.2% not-applicable(udp/port:88)(src) 26.1% not-applicable(tcp/port:88)(src) 25.1% not-applicable(tcp/port:137)(src) 22.1% not-applicable(udp/port:37)(src) 1.% not-applicable(udp/port:178)(src) 9.% not-applicable(tcp/port:51)(src) 9.% not-applicable(udp/port:4852)(src) 8.% その他.% 合計 4,97 3.11% 7. 192.168.11.22 bittorrent(udp)(dst) 2,441 1.52% - 17 -

外部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント not-applicable(udp/port:52)(src) 211.13% not-applicable(udp/port:5)(src) 96.6% not-applicable(udp/port:23) (src) 52.3% not-applicable(udp/port: )(src) 52.3% not-applicable(udp/port:53)(src) 19.1% その他.% 合計 2,871 1.79% 8. 192.168.232.2 bittorrent(udp)(src) 665.41% not-applicable(udp/port:52)(src) 424.26% not-applicable(udp/port:5)(src) 39.19% not-applicable(udp/port:23) (src) 15.9% not-applicable(udp/port: )(src) 143.9% not-applicable(udp/port:53)(src) 113.7% not-applicable(tcp/port:1212)(src) 113.7% youtube(tcp)(src) 113.7% not-applicable(tcp/port:8)(src) 113.7% not-applicable(udp/port:88)(src) 113.7% not-applicable(tcp/port:88)(src) 12.6% not-applicable(tcp/port:137)(src) 9.5% not-applicable(udp/port:37)(src) 38.2% その他.% 合計 2,486 1.55% 9. 192.168.6.19 not-applicable(udp/port:52)(src) 1,21.63% not-applicable(udp/port:5)(src) 663.41% not-applicable(udp/port:23) (src) 46.25% not-applicable(udp/port: )(src) 172.1% not-applicable(udp/port:53)(src) 19.6% not-applicable(tcp/port:1212)(src) 47.2% youtube(tcp)(src) 43.2% not-applicable(tcp/port:8)(src) 17.1% その他.% 合計 2,478 1.55% 1. 192.168.77.49 not-applicable(udp/port:52)(src) 578.36% not-applicable(udp/port:5)(src) 146.9% not-applicable(udp/port:23) (src) 125.7% not-applicable(udp/port: )(src) 88.5% not-applicable(udp/port:53)(src) 75.4% not-applicable(tcp/port:1212)(src) 74.4% youtube(tcp)(src) 73.4% not-applicable(tcp/port:8)(src) 73.4% not-applicable(udp/port:88)(src) 73.4% not-applicable(tcp/port:88)(src) 73.4% not-applicable(tcp/port:137)(src) 71.4% not-applicable(udp/port:37)(src) 7.4% not-applicable(udp/port:178)(src) 57.3% - 18 -

外部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント not-applicable(tcp/port:51)(src) 26.1% not-applicable(udp/port:4852)(src) 7.% not-applicable(udp/port:53628)(src) 2.% not-applicable(tdp/port:49235)(src) 1.% skype(tcp)(src) 1.% not-applicable(udp/port:5523)(src) 1.% not-applicable(udp/port:52)(src) 1.% 小計 1,615 1.1% その他 1.% 合計 1,616 1.1% 11. 192.168.9.159 not-applicable(udp/port:52)(src) 586.36% not-applicable(udp/port:5)(src) 557.34% not-applicable(udp/port:23) (src) 29.1% その他.% 合計 1,172.73% 12. 192.168.76.32 not-applicable(udp/port:52)(src) 421.26% not-applicable(udp/port:5)(src) 224.14% not-applicable(udp/port:23) (src) 197.12% その他.% 合計 842.52% 13. 192.168..2 not-applicable(udp/port:8)(src) 353.22% not-applicable(udp/port:5)(src) 353.22% その他.% 合計 76.44% 14. 192.168.182.13 not-applicable(udp/port:52)(src) 172.1% not-applicable(udp/port:5)(src) 55.3% not-applicable(udp/port:23) (src) 31.1% not-applicable(udp/port: )(src) 3.1% not-applicable(udp/port:53)(src) 28.1% not-applicable(tcp/port:1212)(src) 24.1% youtube(tcp)(src) 2.1% not-applicable(tcp/port:8)(src) 2.1% not-applicable(udp/port:88)(src) 2.1% not-applicable(tcp/port:88)(src) 19.1% not-applicable(tcp/port:137)(src) 16.1% not-applicable(udp/port:37)(src) 12.% not-applicable(udp/port:178)(src) 12.% not-applicable(tcp/port:51)(src) 12.% not-applicable(udp/port:4852)(src) 8.% not-applicable(udp/port:53628)(src) 8.% not-applicable(tdp/port:49235)(src) 4.% skype(tcp)(src) 4.% not-applicable(udp/port:5523)(src) 4.% not-applicable(udp/port:52)(src) 1.% その他.% - 19 -

外部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント合計 5.31% 15. 192.168.75.33 not-applicable(udp/port:52)(src) 236.14% not-applicable(udp/port:5)(src) 236.14% その他.% 合計 472.29% 16. 192.168.76.98 not-applicable(udp/port:52)(src) 19.11% not-applicable(udp/port:5)(src) 95.5% その他.% 合計 285.17% 17. 192.168.47.8 not-applicable(udp/port:52)(src) 6.3% not-applicable(udp/port:5)(src) 12.% not-applicable(udp/port:23) (src) 12.% not-applicable(udp/port: )(src) 12.% not-applicable(udp/port:53)(src) 12.% not-applicable(tcp/port:1212)(src) 6.% youtube(tcp)(src) 6.% その他.% 合計 12.7% 18. 192.168.82.1 bittorrent(udp)(dst) 42.2% not-applicable(udp/port:52)(src) 12.% not-applicable(udp/port:5)(src) 7.% not-applicable(udp/port:23) (src) 7.% not-applicable(udp/port: )(src) 7.% not-applicable(udp/port:53)(src) 6.% not-applicable(tcp/port:1212)(src) 5.% youtube(tcp)(src) 5.% not-applicable(tcp/port:8)(src) 5.% not-applicable(udp/port:88)(src) 5.% not-applicable(tcp/port:88)(src) 4.% not-applicable(tcp/port:137)(src) 3.% not-applicable(udp/port:37)(src) 2.% not-applicable(udp/port:178)(src) 2.% not-applicable(tcp/port:51)(src) 1.% not-applicable(udp/port:4852)(src) 1.% not-applicable(udp/port:53628)(src) 1.% not-applicable(tdp/port:49235)(src) 1.% skype(tcp)(src) 1.% not-applicable(udp/port:5523)(src) 1.% 小計 118.7% その他 1.% 合計 119.7% 19. 192.168.77.64 not-applicable(udp/port:8)(src) 19.1% 2. 192.168.3.1 not-applicable(udp/port:dst)(dst) 9.% 小計 159,456 99.85% その他 236.14% - 2 -

外部クライアント / サーバに生成されたアプリケーション / プロトコルイベントクライアント / サーバアプリケーション / プロトコルイベント合計 159,692 1.% 外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要 - ヘルプカードクライアント / サーバサービス開始時にお客様よりヒアリングした Palo Alto の内部で使用している IP アドレス以外の IP アドレスを表しますアプリケーション / プロトコルコンピュータ同士の通信で使用したアプリケーションおよびプロトコルの名称を表しますプロトコル名の後に (src) と (dst) が付与されます (src) はクライアント / サーバが通信の送信元であることを表し (dst) はクライアント / サーバが通信の宛先であることを表しますルールにアプリケーションをご指定頂いていない場合アプリケーション名は not-applicable と表示します not-applicable のようにアプリケーションが特定できないものについては通信で使用するポート番号を付与して表示しますイベント送信元もしくは宛先に外部 IP アドレスが含まれる通信を遮断した回を表しますその他外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表に記述されなかった通信遮断件の合計を表します全ての通信遮断件が表記されている場合本見出しは表示されません合計外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表にて表の列に記述してあるその他を含めた通信遮断件の合計を表します小計外部 IP アドレスが送信元もしくは宛先に含まれる通信遮断の概要の表にて表の列に記述してあるその他を含めない通信遮断件の合計を表します全ての通信遮断件が表記されている場合本見出しは表示されませんこのページは外部 IP アドレスが送信元もしくは宛先に含まれる通信を Palo Alto によって最も頻繁に遮断された IP アドレスならびにアプリケーション / プロトコルを示します特定のアプリケーション / プロトコルを使用した外部 IP アドレスの通信量がわかるためウイルスの感染や不正なアクセスを試みている外部 IP アドレスを特定することに役立ちます注意 Palo Alto にて発生した通信の送信元と宛先が共に外部アドレスとして記録されているイベントはこの表では 2 回としてカウントされます送信元と宛先共に Palo Alto の内部 IP アドレスとして記録されているイベントはこの表に表示されません - 21 -

4.3 ルール別アプリケーション通信遮断統計レポートこのページは Palo Alto に設定したルールによって遮断された通信をルール毎に示しています縦軸は Palo Alto のルールによって遮断された通信の回横軸は通信が遮断された際 Palo Alto に設定されていた日付を示しています遮断された通信が継続的且つ非常に多く発生している場合はアタックを受けている可能性が考えられます遮断されているアプリケーション / プロトコルが見覚えないものであれば調査が必要ですまた通信を遮断したアプリケーション / プロトコルを特定することでネットワークのリソースを無駄に使用しているアプリケーション等を把握することも可能です対象のアプリケーションを使用禁止にする等の対応を行うことでネットワークリソースの有効活用が可能ですこのページには Palo Alto に設定したルールも表示されますので継続的に遮断された通信が存在する場合は Palo Alto の設定内容もご確認頂くことを推奨致しますプロトコルによってトリガされたファイアウォールルールの推移 rule1 2, 1,8 1,6 1,4 1,2 1, 8 6 4 2 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 4.3.1 ルール別アプリケーション通信遮断の推移プロトコルによってトリガされるファイアウォールルール rule6 rule3 rule2 rule4 2, 18, 16, 14, 12, 1, 8, 6, 4, 2, 2 4 6 1 3 5 種別 1 2 3 4 5 6 図 4.3.2 ルール別アプリケーション通信遮断の概要上記グラフ中のに続く種別は下記ルール別アプリケーション通信遮断の概要の表の項番とリンクしています - 22 -

表 4.3.1 ルール別アプリケーション通信遮断の概要アプリケーション / プロトコルによってトリガされるファイアウォールルールルールアプリケーション / プロトコルイベント 1. rule1 bittorrent 8,66 7.27% not-applicable(udp/port:52) 962.86% not-applicable(udp/port:5) 917.82% not-applicable(udp/port:23) 877.79% not-applicable(udp/port: ) 857.77% not-applicable(udp/port:53) 811.73% not-applicable(tcp/port:1212) 663.59% youtube 656.59% not-applicable(tcp/port:8) 64.57% not-applicable(udp/port:88) 67.54% not-applicable(tcp/port:88) 492.44% not-applicable(tcp/port:137) 487.43% not-applicable(udp/port:37) 477.43% not-applicable(udp/port:178) 4.36% not-applicable(tcp/port:51) 364.32% not-applicable(udp/port:4852) 355.32% not-applicable(udp/port:53628) 266.24% not-applicable(tdp/port:49235) 263.23% not-applicable(udp/port:53887) 243.21% not-applicable(udp/port:53114) 69.6% 小計 18,472 16.66% その他 18.9% 合計 18,58 16.76% 2. rule6 not-applicable(tcp/port:8) 8,65 7.27% not-applicable(udp/port:88) 961.86% not-applicable(tcp/port:88) 918.82% not-applicable(tcp/port:137) 882.79% not-applicable(udp/port:37) 855.77% not-applicable(udp/port:178) 86.72% not-applicable(tcp/port:51) 665.6% not-applicable(udp/port:4852) 653.58% not-applicable(udp/port:53628) 629.56% not-applicable(tdp/port:49235) 69.55% not-applicable(udp/port:53887) 496.44% not-applicable(udp/port:53114) 492.44% not-applicable(udp/port:52) 476.43% not-applicable(udp/port:5) 4.36% not-applicable(udp/port:23) 364.32% not-applicable(udp/port: ) 356.32% not-applicable(udp/port:53) 267.24% not-applicable(tcp/port:1212) 263.23% not-applicable(udp/port:552) 243.21% not-applicable(udp/port:45) 68.6% 小計 18,468 16.66% - 23 -

アプリケーション / プロトコルによってトリガされるファイアウォールルールルールアプリケーション / プロトコルイベントその他 11.9% 合計 18,578 16.76% 3. rule2 not-applicable(tcp/port:8) 7,983 7.2% not-applicable(udp/port:88) 962.86% not-applicable(tcp/port:88) 917.82% not-applicable(tcp/port:137) 88.79% not-applicable(udp/port:37) 857.77% not-applicable(udp/port:178) 759.68% not-applicable(tcp/port:51) 665.6% not-applicable(udp/port:4852) 653.58% not-applicable(udp/port:53628) 622.56% not-applicable(tdp/port:49235) 66.54% not-applicable(udp/port:53887) 495.44% not-applicable(udp/port:53114) 487.43% not-applicable(udp/port:52) 475.42% not-applicable(udp/port:5) 396.35% not-applicable(udp/port:23) 363.32% not-applicable(udp/port: ) 356.32% not-applicable(udp/port:53) 267.24% not-applicable(tcp/port:1212) 262.23% not-applicable(udp/port:552) 244.22% not-applicable(udp/port:45) 66.6% 小計 18,315 16.52% その他 12.9% 合計 18,417 16.61% 4. rule3 bittorrent(udp) 7,98 7.2% not-applicable(tcp/port:8) 963.86% not-applicable(udp/port:88) 915.82% not-applicable(tcp/port:88) 873.78% not-applicable(tcp/port:137) 856.77% not-applicable(udp/port:37) 755.68% not-applicable(udp/port:178) 672.6% not-applicable(tcp/port:51) 652.58% not-applicable(udp/port:4852) 626.56% not-applicable(udp/port:53628) 65.54% not-applicable(tdp/port:49235) 493.44% not-applicable(udp/port:53887) 49.44% not-applicable(udp/port:53114) 475.42% not-applicable(udp/port:52) 395.35% not-applicable(udp/port:5) 364.32% not-applicable(udp/port:23) 358.32% not-applicable(udp/port: ) 267.24% not-applicable(udp/port:53) 264.23% not-applicable(tcp/port:1212) 245.22% not-applicable(udp/port:552) 68.6% - 24 -

アプリケーション / プロトコルによってトリガされるファイアウォールルールルールアプリケーション / プロトコルイベント小計 18,316 16.52% その他 11.9% 合計 18,417 16.61% 5. rule4 not-applicable(tcp/port:8) 7,99 7.21% not-applicable(udp/port:88) 962.86% not-applicable(tcp/port:88) 914.82% not-applicable(tcp/port:137) 871.78% not-applicable(udp/port:37) 857.77% not-applicable(udp/port:178) 75.67% not-applicable(tcp/port:51) 67.6% not-applicable(udp/port:4852) 65.58% not-applicable(udp/port:53628) 623.56% not-applicable(tdp/port:49235) 63.54% not-applicable(udp/port:53887) 493.44% not-applicable(udp/port:53114) 493.44% not-applicable(udp/port:52) 476.43% not-applicable(udp/port:5) 394.35% not-applicable(udp/port:23) 364.32% not-applicable(udp/port: ) 358.32% not-applicable(udp/port:53) 267.24% not-applicable(tcp/port:1212) 263.23% not-applicable(udp/port:552) 246.22% not-applicable(udp/port:45) 69.6% 小計 18,313 16.52% その他 12.9% 合計 18,415 16.61% 6. rule5 not-applicable(tcp/port:8) 7,992 7.21% not-applicable(udp/port:88) 959.86% not-applicable(tcp/port:88) 917.82% not-applicable(tcp/port:137) 873.78% not-applicable(udp/port:37) 857.77% not-applicable(udp/port:178) 752.67% not-applicable(tcp/port:51) 671.6% not-applicable(udp/port:4852) 652.58% not-applicable(udp/port:53628) 62.55% not-applicable(tdp/port:49235) 63.54% not-applicable(udp/port:53887) 493.44% not-applicable(udp/port:53114) 49.44% not-applicable(udp/port:52) 475.42% not-applicable(udp/port:5) 396.35% not-applicable(udp/port:23) 363.32% not-applicable(udp/port: ) 357.32% not-applicable(udp/port:53) 268.24% not-applicable(tcp/port:1212) 264.23% not-applicable(udp/port:552) 241.21% - 25 -

アプリケーション / プロトコルによってトリガされるファイアウォールルールルールアプリケーション / プロトコルイベント not-applicable(udp/port:45) 7.6% 小計 18,313 16.52% その他 12.9% 合計 18,415 16.61% 合計 11,822 1.% ルール別アプリケーション通信遮断統計レポートの概要 - ヘルプカードルール Palo Alto を通過する通信に対して IP アドレスやアプリケーション / プロトコルによってアクセス権を定義したものですアプリケーション / プロトコルコンピュータ同士の通信で使用したアプリケーションおよびプロトコルの名称を表しますルールにアプリケーションをご指定頂いていない場合アプリケーション名は not-applicable と表示します not-applicable のようにアプリケーションが特定できないものについては通信で使用するポート番号を付与して表示しますイベント Palo Alto によって通信を遮断した回を表しますその他ルール別アプリケーション通信遮断の概要の表に記述されなかった通信遮断件の合計を表します全ての通信遮断件が表記されている場合本見出しは表示されません合計ルール別アプリケーション通信遮断の概要の表にて表の列に記述してあるその他を含めた通信遮断件の合計を表します小計ルール別アプリケーション通信遮断の概要の表にて表の列に記述してあるその他を含めない通信遮断件の合計を表します全ての通信遮断件が表記されている場合本見出しは表示されませんこのページは Palo Alto のルールによって遮断された通信のアプリケーション / プロトコルを示します最も頻繁に遮断されたアプリケーション / プロトコルを統計的に知ることができます - 26 -

5 SPI 検知統計 5.1 攻撃元 IP アドレス別検知統計レポートこのページは Palo Alto にて検知した攻撃元 IP アドレス別アタックの統計情報を示します縦軸は Palo Alto がアタックを検知した際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示しています Palo Alto およびその内側に存在するサーバ等に対してアタックを受けている可能性があります攻撃元 IP アドレスの表示を元に Whois データベース等にアクセスして調査することを推奨致します攻撃元別攻撃イベントの推移 1.212.2.17 7, 6, 5, 4, 3, 2, 1,... 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 5.1.1 攻撃元 IP アドレス別アタック発生の推移攻撃元別攻撃イベント 42, 36, 3, 24, 18, 12, 6, 1 2 1 種別 2 図 5.1.2 攻撃元 IP アドレス別アタック発生の概要上記グラフ中のに続く種別は下記攻撃元 IP アドレス別アタック発生の概要の表の項番とリンクしています - 27 -

表 5.1.1 攻撃元 IP アドレス別アタック発生の概要攻撃元別攻撃イベント攻撃元攻撃種類回 1. 1.212.2.17 SCAN: TCP Port Scan(81) 14,667 25.1% SCAN: UDP Port Scan(83) 14,667 25.1% SCAN: Host Sweep(82) 14,66 24.91% 合計 43,94 74.95% 2.... flood 14,686 25.5% 合計 58,626 1.% 攻撃元 IP アドレス別アタック発生の概要 - ヘルプカード攻撃元 - 攻撃元 IP アドレスを表します Flood 系のアタック検知ログにて攻撃元 / 先 IP アドレスが全て... と表示されるため SPI 検知統計における Flood 攻撃の攻撃元 / 先 IP アドレスは全て... と表示されます攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します Palo Alto の制限により SYN Flood Protection ICMP Flood Protection UDPFlood Protection Other IP Flood Protection の検知ログ ( 以下 :Flood 系のアタック ) が別名のアタック検知として出力されるため上記アタック検知ログは Flood アタックとして包含した統計情報としてレポートに記載します回 - Palo Alto にてアタックを検知した際にその旨を記したログを弊社監視センタにて取得した回を表しますその他攻撃元 IP アドレス別アタック発生の概要の表に記述されなかったアタック発生の回の合計を表します全てのアタック発生の回が表記されている場合本見出しは表示されません合計 - 攻撃元 IP アドレス別アタック発生の概要の表にて表の列に記述してあるその他を含めたアタック発生の回の合計を表します小計 - 攻撃元 IP アドレス別アタック発生の概要の表にて表の列に記述してあるその他を含めないアタック発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されませんこのページによって Palo Alto にて検知した攻撃元 IP アドレス別アタックの検知状況を統計的に知ることができます - 28 -

5.2 攻撃種類別検知統計レポートこのページは Palo Alto にて検知した攻撃種類別アタックの統計情報を示します縦軸は Palo Alto がアタックを検知した際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示していますこれらの統計情報により検知したアタックの推移や傾向の把握が可能です攻撃種類別攻撃先の推移 flood 2,2 2, 1,8 1,6 1,4 1,2 1, 8 6 4 2 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 5.2.1 攻撃種類別アタック発生の推移 SCAN: TCP Port Scan(81) SCAN: UDP Port Scan(83) SCAN: Host Sweep(82) 攻撃種類別攻撃先 14, 12, 1, 8, 6, 4, 2, 1 2 種別 1 2 3 4 図 5.2.2 攻撃種類別アタック発生の概要上記グラフ中のに続く種別は下記攻撃種類別アタック発生の概要の表の項番とリンクしています 3 4 表 5.2.1 攻撃種類別アタック発生の概要攻撃種類別攻撃先攻撃種類攻撃先回 1. flood... 14,686 25.5% 2. SCAN: TCP Port Scan(81) 1.212.2.19 14,667 25.1% 3. SCAN: UDP Port Scan(83) 1.212.2.19 14,667 25.1% 4. SCAN: Host Sweep(82) 172.16.1.2 14,66 24.91% 合計 58,626 1.% - 29 -

攻撃種類別アタック発生の概要 - ヘルプカード攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します Palo Alto の制限により SYN Flood Protection ICMP Flood Protection UDPFlood Protection Other IP Flood Protection の検知ログ ( 以下 :Flood 系のアタック ) が別名のアタック検知として出力されるため上記アタック検知ログは Flood アタックとして包含した統計情報としてレポートに記載します攻撃先 - 攻撃元より攻撃を受けた IP アドレスまたはホスト名を表します Flood 系のアタック検知ログにて攻撃元 / 先 IP アドレスが全て... と表示されるため SPI 検知統計における Flood 攻撃の攻撃元 / 先 IP アドレスは全て... と表示されますその他攻撃種類別アタック発生の概要の表に記述されなかったアタック発生の回の合計を表します全てのアタック発生の回が表記されている場合本見出しは表示されません回 - 行われた攻撃の回を表します合計 - 攻撃種類別アタック発生の概要の表にて表の列に記述してあるその他を含めたアタック発生のイベントの合計を表します小計 - 攻撃種類別アタック発生の概要の表にて表の列に記述してあるその他を含めないアタック発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されません最も行われた攻撃の種類と攻撃の種類毎の攻撃先がこのページから分かります - 3 -

5.3 攻撃元 IP アドレス別ブロック統計レポートこのページは Palo Alto にてブロックした攻撃元 IP アドレス別アタックの統計情報を示します縦軸は Palo Alto がアタックをブロックした際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示しています攻撃元 IP アドレスの表示を元に Whois データベース等にアクセスして調査することを推奨致します 12, 11, 1, 9, 8, 7, 6, 5, 4, 3, 2, 1, 攻撃元別攻撃イベントの推移 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 5.3.1 攻撃元 IP アドレス別アタック発生の推移... 1.212.2.17 攻撃元別攻撃イベント 8, 7, 6, 5, 4, 3, 2, 1, 1 2 1 種別 2 図 5.3.2 攻撃元 IP アドレス別アタック発生の概要上記グラフ中のに続く種別は下記攻撃元 IP アドレス別アタック発生の概要の表の項番とリンクしています - 31 -

表 5.3.1 攻撃元 IP アドレス別アタック発生の概要攻撃元別攻撃イベント攻撃元攻撃種類回 1.... flood 75,432 62.57% 2. 1.212.2.17 SCAN: TCP Port Scan(81) 15,75 12.5% SCAN: UDP Port Scan(83) 15,34 12.47% SCAN: Host Sweep(82) 15,14 12.45% 合計 45,123 37.42% 合計 12,555 1.% 攻撃元 IP アドレス別アタック発生の概要 - ヘルプカード攻撃元 - 攻撃元 IP アドレスを表します Flood 系のアタック検知ログにて攻撃元 / 先 IP アドレスが全て... と表示されるため SPI 検知統計における Flood 攻撃の攻撃元 / 先 IP アドレスは全て... と表示されます攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します Palo Alto の制限により SYN Flood Protection ICMP Flood Protection UDPFlood Protection Other IP Flood Protection の検知ログ ( 以下 :Flood 系のアタック ) が別名のアタック検知として出力されるため上記アタック検知ログは Flood アタックとして包含した統計情報としてレポートに記載します回 - Palo Alto にてアタックをブロックした際にその旨を記したログを弊社監視センタにて取得した回を表しますその他攻撃元 IP アドレス別アタック発生の概要の表に記述されなかったアタック発生の回の合計を表します全てのアタック発生の回が表記されている場合本見出しは表示されません合計 - 攻撃元 IP アドレス別アタック発生の概要の表にて表の列に記述してあるその他を含めたアタック発生の回の合計を表します小計 - 攻撃元 IP アドレス別アタック発生の概要の表にて表の列に記述してあるその他を含めないアタック発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されませんこのページによって Palo Alto にてブロックした攻撃元 IP アドレス別アタックの発生状況を統計的に知ることができます - 32 -

5.4 攻撃種類別ブロック統計レポートこのページは Palo Alto にてブロックした攻撃種類別アタックの統計情報を示します縦軸は Palo Alto がアタックをブロックした際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示していますこれらの統計情報によりブロックしたアタックの推移や傾向の把握が可能です 12, 11, 1, 9, 8, 7, 6, 5, 4, 3, 2, 1, 攻撃種類別攻撃先の推移 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 5.4.1 攻撃種類別アタック発生の推移 flood SCAN: TCP Port Scan(81) SCAN: UDP Port Scan(83) SCAN: Host Sweep(82) 攻撃種類別攻撃先 8, 7, 6, 5, 4, 3, 2, 1, 1 2 種別 1 2 3 4 図 5.4.2 攻撃種類別アタック発生の概要上記グラフ中のに続く種別は下記攻撃種類別アタック発生の概要の表の項番とリンクしています攻撃種類別攻撃先表 5.4.1 攻撃種類別アタック発生の概要攻撃種類攻撃先回 1. flood... 75,432 62.57% 2. SCAN: TCP Port Scan(81) 1.212.2.19 15,75 12.5% 3. SCAN: UDP Port Scan(83) 1.212.2.19 15,34 12.47% 4. SCAN: Host Sweep(82) 172.16.1.2 15,14 12.45% 合計 12,555 1.% 3 4-33 -

攻撃種類別アタック発生の概要 - ヘルプカード攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します Palo Alto の制限により SYN Flood Protection ICMP Flood Protection UDPFlood Protection Other IP Flood Protection の検知ログ ( 以下 :Flood 系のアタック ) が別名のアタック検知として出力されるため上記アタック検知ログは Flood アタックとして包含した統計情報としてレポートに記載します攻撃先 - 攻撃元より攻撃を受けた IP アドレスまたはホスト名を表します Flood 系のアタック検知ログにて攻撃元 / 先 IP アドレスが全て... と表示されるため SPI 検知統計における Flood 攻撃の攻撃元 / 先 IP アドレスは全て... と表示されますその他攻撃種類別アタック発生の概要の表に記述されなかったアタック発生の回の合計を表します全てのアタック発生の回が表記されている場合本見出しは表示されません回 - 行われた攻撃回を表します合計 - 攻撃種類別アタック発生の概要の表にて表の列に記述してあるその他を含めたアタック発生のイベントの合計を表します小計 - 攻撃種類別アタック発生の概要の表にて表の列に記述してあるその他を含めないアタック発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されません最も行われた攻撃の種類と攻撃の種類毎の攻撃先がこのページから分かります - 34 -

6 IDS/IPS 検知統計 6.1 攻撃元 IP アドレス別検知統計レポートこのページは Palo Alto にて検知した攻撃元 IP アドレス別脆弱性攻撃の統計情報を示します縦軸は Palo Alto が脆弱性攻撃を検知した際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示しています Palo Alto およびその内側に存在するサーバ等に対して脆弱性攻撃を受けている可能性があります攻撃元 IP アドレスの表示を元に Whois データベース等にアクセスして調査することを推奨致します攻撃元別攻撃イベントの推移 4 36 32 28 24 2 16 12 8 4 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 6.1.1 攻撃元 IP アドレス別脆弱性攻撃発生の推移攻撃元別攻撃イベント 44 33 22 11 1 1 種別図 6.1.2 攻撃元 IP アドレス別脆弱性攻撃発生の概要上記グラフ中のに続く種別は下記攻撃元 IP アドレス別脆弱性攻撃発生の概要の表の項番とリンクしています - 35 -

攻撃元別攻撃イベント表 6.1.1 攻撃元 IP アドレス別脆弱性攻撃発生の概要攻撃元攻撃種類回 1. 1.212.5.21 Adobe Acrobat and Adobe Reader U3D RHAdobeMeta Buffer Overflow(3267) 43 1.% 合計 43 1.% 攻撃元 IP アドレス別脆弱性攻撃発生の概要 - ヘルプカード攻撃元 - 攻撃元 IP アドレスを表します攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します回 - Palo Alto にて脆弱性攻撃を検知した際にその旨を記したログを弊社監視センタにて取得した回を表しますその他攻撃元 IP アドレス別脆弱性攻撃発生の概要の表に記述されなかった脆弱性攻撃発生の回の合計を表します全ての脆弱性攻撃発生の回が表記されている場合本見出しは表示されません合計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めた脆弱性攻撃発生の回の合計を表します小計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めない脆弱性攻撃発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されませんこのページによって Palo Alto にて検知した攻撃元 IP アドレス別脆弱性攻撃の検知状況を統計的に知ることができます - 36 -

6.2 攻撃先 IP アドレス別検知統計レポートこのページは Palo Alto にて検知した攻撃先 IP アドレス別脆弱性攻撃の統計情報を示します縦軸は Palo Alto が脆弱性攻撃を検知した際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示しています Palo Alto およびその内側に存在するサーバ等に対して脆弱性攻撃を受けている可能性があります攻撃元 IP アドレスの表示を元に Whois データベース等にアクセスして調査することを推奨致します攻撃先別攻撃イベントの推移 4 36 32 28 24 2 16 12 8 4 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 6.2.1 攻撃先 IP アドレス別脆弱性攻撃発生の推移攻撃先別攻撃イベント 44 33 22 11 1 1 種別図 6.2.2 攻撃先 IP アドレス別脆弱性攻撃発生の概要上記グラフ中のに続く種別は下記攻撃先 IP アドレス別脆弱性攻撃発生の概要の表の項番とリンクしています - 37 -

攻撃先別攻撃イベント表 6.2.1 攻撃先 IP アドレス別脆弱性攻撃発生の概要攻撃先攻撃種類回 1. 192.168.7.2 Adobe Acrobat and Adobe Reader U3D RHAdobeMeta Buffer Overflow(3267) 43 1.% 合計 43 1.% 攻撃先 IP アドレス別脆弱性攻撃発生の概要 - ヘルプカード攻撃先 - 攻撃元 IP アドレスを表します攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します回 - Palo Alto にて脆弱性攻撃を検知した際にその旨を記したログを弊社監視センタにて取得した回を表しますその他攻撃元 IP アドレス別脆弱性攻撃発生の概要の表に記述されなかった脆弱性攻撃発生の回の合計を表します全ての脆弱性攻撃発生の回が表記されている場合本見出しは表示されません合計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めた脆弱性攻撃発生の回の合計を表します小計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めない脆弱性攻撃発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されませんこのページによって Palo Alto にて検知した攻撃元 IP アドレス別脆弱性攻撃の検知状況を統計的に知ることができます - 38 -

6.3 攻撃種類別検知統計レポートこのページは Palo Alto にて検知した攻撃種類別脆弱性攻撃の統計情報を示します縦軸は Palo Alto が脆弱性攻撃を検知した際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示していますこれらの統計情報により検知した脆弱性攻撃の推移や傾向の把握が可能です攻撃種類別攻撃先の推移 4 36 32 28 24 2 16 12 8 4 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 6.3.1 攻撃種類別脆弱性攻撃発生の推移攻撃種類別攻撃元 44 33 22 11 1 1 種別図 6.3.2 攻撃種類別脆弱性攻撃発生の概要上記グラフ中のに続く種別は下記攻撃種類別脆弱性攻撃発生の概要の表の項番とリンクしています攻撃種類別攻撃元表 6.3.1 攻撃種類別脆弱性攻撃発生の概要攻撃種類攻撃元回 1. Adobe Acrobat and Adobe Reader U3D RHAdobeMeta Buffer Overflow(3267) 1.212.5.21 43 1.% 合計 43 1.% - 39 -

攻撃種類別脆弱性攻撃発生の概要 - ヘルプカード攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します攻撃先 - 攻撃元より攻撃を受けた IP アドレスまたはホスト名を表しますその他攻撃種類別脆弱性攻撃発生の概要の表に記述されなかった脆弱性攻撃発生の回の合計を表します全ての脆弱性攻撃発生の回が表記されている場合本見出しは表示されません回 - 行われた攻撃の回を表します合計 - 攻撃種類別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めた脆弱性攻撃発生のイベントの合計を表します小計 - 攻撃種類別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めない脆弱性攻撃発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されません最も行われた攻撃の種類と攻撃の種類毎の攻撃先がこのページから分かります - 4 -

6.4 攻撃元 IP アドレス別ブロック統計レポートこのページは Palo Alto にてブロックした攻撃元 IP アドレス別脆弱性攻撃の統計情報を示します縦軸は Palo Alto が脆弱性攻撃をブロックした際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示しています攻撃元 IP アドレスの表示を元に Whois データベース等にアクセスして調査することを推奨致します攻撃元別攻撃イベントの推移 1,8 1,6 1,4 1,2 1, 8 6 4 2 12/4 12/8 12/12 12/2 12/6 12/1 12/16 12/14 日 12/2 12/24 12/28 12/18 12/22 12/26 12/3 図 6.4.1 攻撃元 IP アドレス別脆弱性攻撃発生の推移攻撃元別攻撃イベント 2, 1,5 1, 5 1 1 種別図 6.4.2 攻撃元 IP アドレス別脆弱性攻撃発生の概要上記グラフ中のに続く種別は下記攻撃元 IP アドレス別脆弱性攻撃発生の概要の表の項番とリンクしています - 41 -

攻撃元別攻撃イベント表 6.4.1 攻撃元 IP アドレス別脆弱性攻撃発生の概要攻撃元攻撃種類回 1. 1.212.39.118 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 1,921 1.% 合計 1,921 1.% 攻撃元 IP アドレス別脆弱性攻撃発生の概要 - ヘルプカード攻撃元 - 攻撃元 IP アドレスを表します攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します回 - Palo Alto にて脆弱性攻撃をブロックした際にその旨を記したログを弊社監視センタにて取得した回を表しますその他攻撃元 IP アドレス別脆弱性攻撃発生の概要の表に記述されなかった脆弱性攻撃発生の回の合計を表します全ての脆弱性攻撃発生の回が表記されている場合本見出しは表示されません合計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めた脆弱性攻撃発生の回の合計を表します小計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めない脆弱性攻撃発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されませんこのページによって Palo Alto にてブロックした攻撃元 IP アドレス別脆弱性攻撃の発生状況を統計的に知ることができます - 42 -

6.5 攻撃先 IP アドレス別ブロック統計レポートこのページは Palo Alto にてブロックした攻撃先 IP アドレス別脆弱性攻撃の統計情報を示します縦軸は Palo Alto が脆弱性攻撃をブロックした際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示しています攻撃元 IP アドレスの表示を元に Whois データベース等にアクセスして調査することを推奨致します 1,1 1, 9 8 7 6 5 4 3 2 1 攻撃先別攻撃イベントの推移 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 6.5.1 攻撃先 IP アドレス別脆弱性攻撃発生の推移 192.168.7.159 192.168.7.16 192.168.7.155 192.168.7.15 192.168.7.151 攻撃先別攻撃イベント 1,1 1, 9 8 7 6 5 4 3 2 1 2 4 6 8 1 1 3 5 7 9 11 種別 1 2 3 4 5 6 7 8 9 1 11 図 6.5.2 攻撃先 IP アドレス別脆弱性攻撃発生の概要上記グラフ中のに続く種別は下記攻撃先 IP アドレス別脆弱性攻撃発生の概要の表の項番とリンクしています - 43 -

攻撃先別攻撃イベント表 6.5.1 攻撃先 IP アドレス別脆弱性攻撃発生の概要攻撃先攻撃種類回 1. 192.168.7.159 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 2. 192.168.7.16 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 3. 192.168.7.155 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 4. 192.168.7.15 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 5. 192.168.7.151 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 6. 192.168.7.152 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 7. 192.168.7.153 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 8. 192.168.7.154 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 9. 192.168.7.156 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 1. 192.168.7.157 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 11. 192.168.7.158 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 1,48 54.55% 292 15.2% 235 12.23% 177 9.21% 116 6.3% 38 1.97% 3.15% 3.15% 3.15% 3.15% 3.15% 合計 1,921 1.% - 44 -

攻撃先 IP アドレス別脆弱性攻撃発生の概要 - ヘルプカード攻撃先 - 攻撃先 IP アドレスを表します攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します回 - Palo Alto にて脆弱性攻撃をブロックした際にその旨を記したログを弊社監視センタにて取得した回を表しますその他攻撃元 IP アドレス別脆弱性攻撃発生の概要の表に記述されなかった脆弱性攻撃発生の回の合計を表します全ての脆弱性攻撃発生の回が表記されている場合本見出しは表示されません合計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めた脆弱性攻撃発生の回の合計を表します小計 - 攻撃元 IP アドレス別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めない脆弱性攻撃発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されませんこのページによって Palo Alto にてブロックした攻撃元 IP アドレス別脆弱性攻撃の発生状況を統計的に知ることができます - 45 -

6.6 攻撃種類別ブロック統計レポートこのページは Palo Alto にてブロックした攻撃種類別脆弱性攻撃の統計情報を示します縦軸は Palo Alto が脆弱性攻撃をブロックした際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示していますこれらの統計情報によりブロックした脆弱性攻撃の推移や傾向の把握が可能です攻撃種類別攻撃先の推移 1,8 1,6 1,4 1,2 1, 8 6 4 2 12/4 12/8 12/12 12/2 12/6 12/1 12/16 12/14 日 12/2 12/24 12/28 12/18 12/22 12/26 12/3 図 6.6.1 攻撃種類別脆弱性攻撃発生の推移攻撃種類別攻撃元 2, 1,5 1, 5 1 1 種別図 6.6.2 攻撃種類別脆弱性攻撃発生の概要上記グラフ中のに続く種別は下記攻撃種類別脆弱性攻撃発生の概要の表の項番とリンクしています攻撃種類別攻撃元表 6.6.1 攻撃種類別脆弱性攻撃発生の概要攻撃種類攻撃元回 1. Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting Vulnerability(32126) 1.212.39.118 1,921 1.% 合計 1,921 1.% - 46 -

攻撃種類別脆弱性攻撃発生の概要 - ヘルプカード攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します攻撃先 - 攻撃元より攻撃を受けた IP アドレスまたはホスト名を表しますその他攻撃種類別脆弱性攻撃発生の概要の表に記述されなかった脆弱性攻撃発生の回の合計を表します全ての脆弱性攻撃発生の回が表記されている場合本見出しは表示されません回 - 行われた攻撃回を表します合計 - 攻撃種類別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めた脆弱性攻撃発生のイベントの合計を表します小計 - 攻撃種類別脆弱性攻撃発生の概要の表にて表の列に記述してあるその他を含めない脆弱性攻撃発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されません最も行われた攻撃の種類と攻撃の種類毎の攻撃先がこのページから分かります - 47 -

7 スパイウェア検知統計 7.1 攻撃元 IP アドレス別検知統計レポートこのページは Palo Alto にて検知した攻撃元 IP アドレス別スパイウェアの統計情報を示します縦軸は Palo Alto がスパイウェアを検知した際にその旨を記したログを弊社監視センタにて取得した回になりますまた横軸はログを送信した際 Palo Alto に設定されていた日付を示しています Palo Alto およびその内側に存在するサーバ等に対してスパイウェアを受けている可能性があります攻撃元 IP アドレスの表示を元に Whois データベース等にアクセスして調査することを推奨致します攻撃元別攻撃イベントの推移 192.168.7.15 7 6 5 4 192.168.7.19 3 2 1 192.168.7.16 12/4 12/8 12/12 12/16 12/2 12/24 12/28 12/2 12/6 12/1 12/14 12/18 12/22 12/26 12/3 日図 7.1.1 攻撃元 IP アドレス別スパイウェア発生の推移攻撃元別攻撃イベント 7 6 5 4 3 2 1 1 1 2 3 2 種別 3 図 7.1.2 攻撃元 IP アドレス別スパイウェア発生の概要上記グラフ中のに続く種別は下記攻撃元 IP アドレス別スパイウェア発生の概要の表の項番とリンクしています - 48 -

攻撃元別攻撃イベント表 7.1.1 攻撃元 IP アドレス別スパイウェア発生の概要攻撃元攻撃種類回 1. 192.168.7.15 Music_Starware_Toolbar Initial request to server on startup of IE(11912) 2. 192.168.7.19 Music_Starware_Toolbar Initial request to server on startup of IE(11912) 3. 192.168.7.16 Music_Starware_Toolbar Initial request to server on startup of IE(11912) 7 5.72% 41 29.71% 27 19.56% 合計 138 1.% 攻撃元 IP アドレス別スパイウェア発生の概要 - ヘルプカード攻撃元 - 攻撃元 IP アドレスを表します攻撃種類 - 攻撃元が攻撃先に対して行った攻撃の種類を表します回 - Palo Alto にてスパイウェアを検知した際にその旨を記したログを弊社監視センタにて取得した回を表しますその他攻撃元 IP アドレス別スパイウェア発生の概要の表に記述されなかったスパイウェア発生の回の合計を表します全てのスパイウェア発生の回が表記されている場合本見出しは表示されません合計 - 攻撃元 IP アドレス別スパイウェア発生の概要の表にて表の列に記述してあるその他を含めたスパイウェア発生の回の合計を表します小計 - 攻撃元 IP アドレス別スパイウェア発生の概要の表にて表の列に記述してあるその他を含めないスパイウェア発生の回の合計を表します全てのログメッセージが表記されている場合は本見出しは表示されませんこのページによって Palo Alto にて検知した攻撃元 IP アドレス別スパイウェアの検知状況を統計的に知ることができます - 49 -