palo alto マネージメントサービス

All Rights Reserved,Copyright© 2004,2015, Hitachi Solutions, Ltd

株式会社○○○殿

Palo Altoマネージメントサービス △△△△年××月分月次レポート

（Palo Altoホスト名）

管理番号： XXXXXXXXXXXX-XXXX


目次

１ご契約サービス内容..................................................................................................................................................................... 1

２デバイス情報ならびに統計レポート期間 ........................................................................................................................ 1

３診断結果 .............................................................................................................................................................................................. 2

４アプリケーション通信遮断統計 .............................................................................................................................................. 9

４.１内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断統計レポート .................................. 9

４.２外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断統計レポート ............................... 14

４.３ルール別アプリケーション通信遮断統計レポート .................................................................................... 22

５ SPI検知統計 .................................................................................................................................................................................. 27

５.１攻撃元 IPアドレス別検知統計レポート ............................................................................................................ 27

５.２攻撃種類別検知統計レポート ................................................................................................................................ 29

５.３攻撃元 IPアドレス別ブロック統計レポート .................................................................................................... 31

５.４攻撃種類別ブロック統計レポート ......................................................................................................................... 33

６ IDS/IPS検知統計 ....................................................................................................................................................................... 35

６.１攻撃元 IPアドレス別検知統計レポート ............................................................................................................ 35

６.２攻撃先 IPアドレス別検知統計レポート ............................................................................................................ 37

６.３攻撃種類別検知統計レポート ................................................................................................................................ 39

６.４攻撃元 IPアドレス別ブロック統計レポート .................................................................................................... 41

６.５攻撃先 IPアドレス別ブロック統計レポート .................................................................................................... 43

６.６攻撃種類別ブロック統計レポート ......................................................................................................................... 46

７スパイウェア検知統計 .............................................................................................................................................................. 48

７.１攻撃元 IPアドレス別検知統計レポート ............................................................................................................ 48

７.２攻撃先 IPアドレス別検知統計レポート ............................................................................................................ 50

７.３攻撃種類別検知統計レポート ................................................................................................................................ 52


７.４攻撃元 IPアドレス別ブロック統計レポート .................................................................................................... 54

７.５攻撃先 IPアドレス別ブロック統計レポート .................................................................................................... 56

７.６攻撃種類別ブロック統計レポート ......................................................................................................................... 58

８ウイルス検知統計 ....................................................................................................................................................................... 60

８.１攻撃元 IPアドレス別ウイルス検知統計レポート ....................................................................................... 60

８.２攻撃先 IPアドレス別ウイルス検知統計レポート ....................................................................................... 63

８.３攻撃種類別ウイルス検知統計レポート ............................................................................................................ 65

８.４攻撃元 IPアドレス別ウイルスブロック統計レポート ................................................................................ 68

８.５攻撃先 IPアドレス別ウイルスブロック統計レポート ................................................................................ 68

８.６攻撃種類別ウイルスブロック統計レポート .................................................................................................... 68

９ URLフィルタリング検知統計 ................................................................................................................................................ 69

９.１カテゴリ別 IPアドレス URL検知統計レポート ............................................................................................. 69

９.２ IPアドレス別URLサイト検知統計レポート ................................................................................................... 71

９.３カテゴリ別 IPアドレスブロック統計レポート .................................................................................................. 73

９.４ IPアドレス別URLサイトブロック統計レポート ........................................................................................... 75

１０ログイン認証統計 ................................................................................................................................................................... 77

１０.１ログイン失敗統計レポート ................................................................................................................................... 77

１０.２ログイン成功統計レポート ................................................................................................................................... 79

１１セキュリティ動向 ...................................................................................................................................................................... 81

１２お問い合わせ先 ....................................................................................................................................................................... 89


- 1 -

１ご契約サービス内容

月次レポートに関わるお客様のご契約サービスは以下の通りです。

表1.1 ご契約サービス一覧

No 分類サービス名ご契約

1

月次レポート

アプリケーション通信遮断統計 ○

2 SPI検知統計 ○

3 IDS/IPS検知統計 ○

4 スパイウェア検知統計 ○

5 ウイルス検知統計 ○

6 URLフィルタリング検知統計 ○

7 ログイン認証統計 ○

２デバイス情報ならびに統計レポート期間

本レポートは、下記Palo Altoの各種統計情報になります。

表2.1 デバイス情報一覧

No. 分類情報

1 機種名

2 ホスト名

3 PAN OS

4 IPアドレス

5 Serial#（シリアル番号）

6 設置場所

本レポートは、 Palo Altoの内部で下記ネットワークアドレスを使用していることを想定しております。

表2.2 Palo Altoの内部で使用しているネットワークアドレス一覧

No. 内部 IPアドレス No. 内部 IPアドレス No. 内部 IPアドレス

1 192.168.7.0/24 8 15

2 9 16

3 10 17

4 11 18

5 12 19

6 13 20

7 14 21

本レポートは、下記期間の統計情報のレポートになります。

表2.3 レポート期間

No. 分類情報

1 レポート期間


- 2 -

３診断結果診断者：ネットワークビジネス部 XXX XXX

診断結果の要点を纏めています。全体的な状況を把握した上で、詳細な診断結果の内容をご参照下さい。

表3.1 診断結果要点早見表

No. サービス名ステイタスアイコン概要

1 アプリケーション通信遮断統計

ピアツーピア(P2P)ファイル共有アプリケーションを

使用した通信が突発的に発生しています。

2 SPI検知統計

アタックの検知状況についてご確認頂き、閾値の設

定変更を推奨いたします。

3 IDS/IPS検知統計

攻撃対象の PC が脆弱性攻撃を受けている可能性

があるため、調査頂くことを推奨致します。

4 スパイウェア検知統計

対象のPCがスパイウェアに感染している可能性が

あるため、調査頂くことを推奨致します。

5 ウイルス検知統計

IP アドレス「192.168.121.150」を送信元とした通信で

ウイルスを 31件検知しています。

6 URLフィルタリング検知統計

IPアドレス「192.168.4.20」がFacebookへ複数回アク

セスを試みています。

7 ログイン認証統計

ログイン認証の成功/失敗状況についてご確認下さ

い。

ステイタスアイコンの概要 - ヘルプカード

- 異常は検知しておらず、良好な状態と判断できることを示しています。

- 状況を把握するために確認をご推奨することを示しています。

- 重要な内容を記載しています。必ずご確認頂きたい事項を示しています。

※ステイタスアイコンの結果は、絶対の安全や継続した安全を保証するものではありません。


- 3 -

(１) 「４アプリケーション通信遮断統計(P9を参照)」

① 「４.１内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断統計レポート(P9を参照)」

12月8日(火)に送信元 IPアドレス「192.168.7.10」からのアプリケーション「bittorrent」を使用した通信が突発的に発生しています。

「bittorrent」は、大容量ファイルの配布効率を高める目的で作成されたピアツーピア(P2P)ファイル共有アプリケーションです。本アプリ

ケーションを使用したシステムは、本来、RedHatLinux の最新版リリースの配布等、正当な理由にて使用されていますが、海外(特に中

国)ではオンラインで（違法・合法に関わらず）大容量のファイルを交換が行われています。

宛先 IPアドレスについて調査したところ組織名が中国に属する通信であることから、社内からの不正利用が考えるため、送信元 IPア

ドレスについて調査頂くことを推奨いたします。

192.168.7.10

192.168.7.33

192.168.7.82

192.168.7.51

192.168.7.880

1,000

2,000

3,000

4,000

5,000

6,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

内部クライアント/サーバに生成されたプロトコルイベントの推移内部クライアント/サーバに生成されたプロトコルイベントの推移

日

図3.1 内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の推移

② 「４.３ルール別アプリケーション通信遮断統計レポート(P22を参照)」

･全ての内部 IPについて、同様のアプリケーションを使用した通信遮断が行われる傾向にあり、最も多く遮断しているアプリケーション

は「bittorrent」です。

rule1

rule6

rule3

rule2

rule40

200

400

600

800

1,000

1,200

1,400

1,600

1,800

2,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

プロトコルによってトリガされたファイアウォールルールの推移プロトコルによってトリガされたファイアウォールルールの推移

日

図3.2 ルール別アプリケーション通信遮断の推移

12月8日(火)に「bittorrent」を使用し

た通信の遮断が突発的に発生して

います。


- 4 -

･今月遮断件数の多いアプリケーションについて、アプリケーションの説明を表3.2に示します。

表3.2 アプリケーションの説明

No. アプリケーション名説明

1 bittorrent

BitTorrent は、ピアツーピア (P2P) ファイル共有通信プロトコルです。ハードウェア、ホスティング、およびネットワークリ

ソース等を元の配布者が負担せずに、大量のデータを広く配信することを目的としています。その代わり、BitTorrent プロ

トコルを使用してデータを配信するときは、各受信者がデータの一部を新しい受信者に提供することで、任意の個別リソー

スにかかるコストおよび負担を軽減しています。また、システムの問題に対する冗長性を提供し、元の配布者への依存性

も軽減しています。このプロトコルは、プログラマである Bram Cohen 氏の考案によるもので、2001 年 4 月に設計され

同年 7 月に初めて実装されました。現在は Cohen 氏の企業、BitTorrent, Inc. によってメンテナンスされています。インタ

ーネット上のかなりのトラフィックをこのプロトコルの使用が占めていますが、正確な量の測定は難しいことが証明されて

います。uTorrent、BitComet、Deluge、TurboBT、および Transmission 等、さまざまなプログラミング言語で記述され、さま

ざまなコンピュータプラットフォーム上で動作する、互換 BitTorrent クライアントが多数存在します。

2 youtube YouTubeは、ユーザがビデオクリップをアップロード、視聴、共有できる人気がある無料のビデオ共有ウェブサイトです。ビ

デオを評定できます、そして、ビデオが監視されたという回の平均評価と数は共に発行されます。

3 skype スカイプはSIPや、IAXや、H.323等のVoIPプロトコルを開くためにインターネット電話同様の独占ピアツーピアです。

(２) 「５ SPI検知統計(P27を参照)」

Palo Altoのアタック検知およびブロックが 12月17日(木)より発生していません。17日前後でログインが成功した履歴は弊社監視セン

タにて取得していないため、設定変更は行われていないと考えられます。

① 「５.１攻撃元 IPアドレス別検知統計レポート(P27を参照)」

1つの IPアドレスからのSCAN攻撃が集中的に検知しています。本通信は、Palo Altoにて許可されているため、攻撃対象の端末は

攻撃を受けている可能性が考えられます。攻撃元 IPアドレスについて調査頂き、閾値を変更頂くことを推奨いたします。

10.212.200.107

0.0.0.0

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

攻撃元別攻撃イベントの推移攻撃元別攻撃イベントの推移

日

図3.3 攻撃元 IPアドレス別アタック発生の推移


- 5 -

② 「５.２攻撃種類別検知統計レポート(P29を参照)」

全てのアタックについて同様の傾向で推移しています。表3.3に示す攻撃先 IPアドレスがアタックによる影響を受けていないか調査

頂くことを推奨いたします。

flood

SCAN: TCP PortScan(8001)

SCAN: UDP PortScan(8003)

SCAN: Host Sweep(8002)0

200

400

600

800

1,000

1,200

1,400

1,600

1,800

2,000

2,200

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

攻撃種類別攻撃先の推移攻撃種類別攻撃先の推移

日

図3.4 攻撃種類別攻撃先の推移

表3.3 攻撃を受けている可能性のある IPアドレス

No. 攻撃種別攻撃先 IPアドレス

1 SCAN: TCP Port Scan(8001) 10.212.200.109

2 SCAN: UDP Port Scan(8003) 10.212.200.109

3 SCAN: Host Sweep(8002) 172.16.10.2

③ 「５.３攻撃元 IPアドレス別ブロック統計レポート (P31を参照)」

1つの IPアドレスからの SCAN攻撃が集中的に検知しています。本通信は、Palo Altoにてブロックされているため、攻撃対象の端

末は安全であると判断いたします。

0.0.0.0

10.212.200.107

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

10,000

11,000

12,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図3.5 攻撃元 IPアドレス別アタック発生の推移


- 6 -

(３) 「６ IDS/IPS検知統計(P35を参照)」

① 「６.２攻撃先 IPアドレス別検知統計レポート (P37を参照)」

12月20日(日)に脆弱性攻撃「Adobe Acrobat and Adobe Reader U3D RHAdobeMeta Buffer Overflow(32607)」を突発的に検知していま

す(図3.6参照)。本通信は、Palo Altoにてブロックしておらず攻撃先 IPアドレス「192.168.7.20」に何らかの影響を及ぼしている可能性

があります。表3.4に脆弱性攻撃の詳細を示します。攻撃先 IPアドレスについて、影響が起きていないか・本攻撃に対して対策が行

われているかご確認頂き、Palo Altoの設定変更の必要性について見当頂くことを推奨致します。

0

4

8

12

16

20

24

28

32

36

40

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図3.6 攻撃先 IPアドレス別脆弱性攻撃発生の推移

表3.4 脆弱性攻撃の詳細

No. 脆弱性攻撃詳細

1 Adobe Acrobat and Adobe Reader U3D

RHAdobeMeta Buffer Overflow(32607)

Adobe AcrobatとAdobe Readerは、ある種の細工された.pdfファイルの解析

間に、オーバーフローの脆弱性を受けやすい性質があります。この脆弱性

は pdfファイル内のU3D RHAdobeMetaの適切なチェックが欠けていること

が原因で、結果的にセキュリティーホールとなるオーバーフローが引き起こ

されます。攻撃者は細工された.pdfファイルを送信することにより、脆弱性の

攻撃が可能です。攻撃が成功した場合、ログインしているユーザの特権で、

リモートからコードが実行されます。

12月20日(日)に突発的な脆弱性攻撃

を受けています。


- 7 -

(４) 「７スパイウェア検知統計(P48を参照)」

① 「７.１攻撃元 IPアドレス別検知統計レポート(P48を参照)」

12月20日(日)にスパイウェア「Music_Starware_Toolbar Initial request to server on startup of IE(11912)」を突発的に検知しています(図

3.6参照)。本スパイウェアはWebブラウザから有害なサイトにアクセスした際に感染する可能性があるため、攻撃元となっている内

部 IPアドレス「192.168.7.105」,「192.168.7.109」,「192.168.7.106」に何らかの影響を及ぼしている可能性があります。表3.4に脆弱性攻撃

の詳細を示します。攻撃元 IPアドレスについて、影響が起きていないか・本攻撃に対して対策が行われているかご確認頂き、Palo

Altoの設定変更の必要性について見当頂くことを推奨致します。

192.168.7.105

192.168.7.109

192.168.7.106

0

10

20

30

40

50

60

70

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図3.6 攻撃先 IPアドレス別スパイウェア発生の推移

表3.4 スパイウェアの詳細

No. スパイウェア詳細

1 Music_Starware_Toolbar Initial

request to server on startup of

IE(11912)

このシグネチャは spyware Music Starware toolbarのランタイムの振る舞いを検

知します。Music Starware toolbarは IEブラウザのハイジャッカーです。このス

パイウェアは IE auto search、search assistant、一般的なサーチエンジンをハイ

ジャックし、音楽に関連したサーチエンジンにリダイレクトします。また、このス

パイウェアはユーザのブラウジングの癖を、情報収集のためリモートサーバへ

に送信します。Starware toolbarは、ユーザの同意無しに、自身のコントロール

サーバから定期的にアップデートをダウンロードします。

(５) 「８ウイルス検知統計(P60を参照)」

① 「８.１攻撃元 IPアドレス別ウイルス検知統計レポート(P60を参照)」

IPアドレス「192.168.121.150」が送信元となった通信のウイルス検知を31件検知しています。その中でも特に検知数の多かったウイル

スは、Trojan/Js.Agent.mkxi(259133)の25件でした。その外にもプライベート IPアドレスが送信元となった通信で多数ウイルスを検知して

います。検知した送信元 IPアドレスのPCに対してウイルススキャン等を実施することを推奨致します。


- 8 -

(６) 「９ URLフィルタリング検知統計(P69を参照)」

① 「９.１カテゴリ別 IPアドレスURL検知統計レポート(P69を参照)」

今月最も多く検知したURLカテゴリは、「search-engines」の156件で、その中で最もアクセスした IPアドレスは「192.168.4.20」の 70件

でした。業務に関わる調査で「search-engines」カテゴリへのアクセスが考えられるため、特に問題は無いと考えますが、業務外の

Web 閲覧で使用している可能性もあるため、検知数の多い IP アドレスに対しては、継続して件数の推移をご確認頂くことを推奨致し

ます。

② 「９.２ IPアドレス別URLサイト検知統計レポート(P71を参照)」

今月最も多く検知した IPアドレスは「192.168.4.10」の94件で、その中で最もアクセスしたサイトはGoogleでした。Googleは検索サイト

で特に危険は無いと判断しますが、2番目に多く検知されたyoutubeは動画サイトであり、業務に関係している可能性は低いため、IP

アドレス「192.168.4.10」が、不必要に動画サイトを閲覧していないかご確認頂くことを推奨致します。

③ 「９.３カテゴリ別 IPアドレスブロック統計レポート(P73を参照)」

今月最も多くブロックしたURLカテゴリは、「Personals & Dating」の 94件で、IPアドレス「192.168.4.20」と「192.168.4.10」が通信のアクセ

ス元になっております。「Personals & Dating」は出会い系となり、業務とは関係ない通信を試みたことが考えられますが、ブロックして

いるためアクセスは行えておりません。

④ 「９.４ IPアドレス別URLサイトブロック統計レポート(P75を参照)」

今月最も多くブロックした IPアドレスは「192.168.4.20」の 78件で、その中で最もアクセスしたサイトは facebookでした。Facebookは、

ソーシャルネットワーク(SNS)であり、人と人とのつながりを促進・サポートするコミュニティ型のWebサイトです。一般的に業務とは異

なる目的でアクセスしていることが考えられ、対象の IPアドレスを使用するユーザに何故facebookにアクセスを試みたかご確認頂く

ことを推奨致します。

(７) 「１０ログイン認証統計(P77を参照)」

① 「１０.１ログイン失敗統計レポート(P77を参照)」

今月は 46回のログイン失敗が発生しています。ログイン元 IPアドレスについて調査頂くことを推奨いたします。

表3.4 ログイン失敗の概要

No. 日付ログイン元 IPアドレス

10.212.200.107 10.12.120.7

1 12月1日(火) 4 0

2 12月2日(水) 0 6

3 12月10日(木) 14 0

4 12月23日(水) 22 0

合計 40 6

② 「１０.２ログイン成功統計レポート(P79を参照)」

今月は 8回のログイン成功を検知しています。ログイン成功が意図したものであるかご確認頂くことを推奨いたします。

表3.5 ログイン成功の概要

No. 日付ログイン元 IPアドレス

10.212.200.107 0.0.0.0

1 12月1日(火) 5 2

2 12月20日(日) 1 0

合計 6 2


- 9 -

４アプリケーション通信遮断統計

４.１内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断統計レポート

このページは、サービス開始時にお客様よりヒアリングした Palo Altoの内部で使用している IPアドレスが、送信元もしくは宛先に含まれる

通信を、Palo Altoによって最も多く遮断した IPアドレスならびにアプリケーション/プロトコルの統計を示します。縦軸は、通信が遮断された

回数、横軸は通信が遮断された際、Palo Altoに設定されていた日付を示しています。もし、通信を許可するべき IPアドレスやアプリケーショ

ン/プロトコルが存在する場合は、Palo Altoのルール設定の見直しを推奨致します。また、特定の IPアドレスから異常な通信が継続的に行

われている場合は、ウイルスに感染している可能性も考えられます。対象の IPアドレスに対して調査することを推奨致します。

192.168.7.10

192.168.7.33

192.168.7.82

192.168.7.51

192.168.7.880

1,000

2,000

3,000

4,000

5,000

6,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

内部クライアント/サーバに生成されたプロトコルイベントの推移内部クライアント/サーバに生成されたプロトコルイベントの推移

日

図4.1.1 内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の推移

1 2 3 4 5 6

0

4,000

8,000

12,000

16,000

20,000

24,000

28,000

32,000

36,000

40,000

44,000

48,000

12

34

56

数

内部クライアント/サーバに生成されたプロトコルイベント内部クライアント/サーバに生成されたプロトコルイベント

種別

図4.1.2 内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要

※上記グラフ中の■に続く種別は下記、「内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表の項番とリンクしています。


- 10 -

表4.1.1 内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要

内部クライアント/サーバに生成されたアプリケーション/プロトコルイベント

クライアント/サーバアプリケーション/プロトコルイベント

1. 192.168.7.10 bittorrent(udp)(src) 19,623 31.67%

vnc(udp)(src) 2,771 4.47%

not-applicable(udp/port:500)(src) 2,573 4.15%

not-applicable(udp/port:23) (src) 2,355 3.80%

not-applicable(udp/port: 0)(src) 2,273 3.66%


not-applicable(tcp/port:1212)(src) 2,045 3.30%

youtube(tcp)(src) 1,938 3.12%







not-applicable(tcp/port:50001)(src) 913 1.47%

not-applicable(udp/port:48520)(src) 849 1.37%


not-applicable(tdp/port:49235)(src) 797 1.28%

skype(tcp)(src) 623 1.00%


小計 47,507 76.68%

その他 285 0.46%

合計 47,792 77.14%


vnc(udp)(src) 296 0.47%


not-applicable(udp/port:23) (src) 260 0.42%

not-applicable(udp/port: 0)(src) 238 0.38%



youtube(tcp)(src) 168 0.27%













小計 5,425 8.75%


- 11 -



その他 19 0.03%

合計 5,444 8.78%





















小計 4,731 7.63%

その他 7 0.01%

合計 4,738 7.64%

4. 192.168.7.51 not-applicable(udp/port:500)(src) 2,031 3.27%














その他 0 0.00%

合計 3,497 5.64%

5. 192.168.7.88 bittorrent(udp)(src) 127 0.20%





- 12 -



















小計 367 0.59%

その他 2 0.00%

合計 369 0.59%


















その他 0 0.00%

合計 112 0.18%

合計 61,952 100.00%


- 13 -

内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要- ヘルプカード

クライアント/サーバ – サービス開始時にお客様よりヒアリングしたPalo Altoの内部で使用している IPアドレス

を表します。

アプリケーション/プロトコル – コンピュータ同士の通信で使用したアプリケーションおよびプロトコルの名称を

表します。プロトコル名の後に(src)と(dst)が付与されます。(src)はクライアント/サーバが通信の送信元であるこ

とを表し、(dst)はクライアント/サーバが通信の宛先であることを表します。

ルールにアプリケーションをご指定頂いていない場合、アプリケーション名は「not-applicable」と表示します。

「not-applicable」のようにアプリケーションが特定できないものについては、通信で使用するポート番号を付

与して表示します。

イベント – 送信元もしくは宛先に内部 IPアドレスが含まれる通信を遮断した回数を表します。

その他 – 「内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表に記述されなかった通信遮

断件数の合計を表します。全ての通信遮断件数が表記されている場合、本見出しは表示されません。

合計 – 「内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表にて、表の列に記述してある

その他を含めた、通信遮断件数の合計を表します。

小計 – 「内部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表にて、表の列に記述してある

その他を含めない、通信遮断件数の合計を表します。全ての通信遮断件数が表記されている場合、本見出しは

表示されません。

このページは、内部 IPアドレスが送信元もしくは宛先に含まれる通信を、Palo Altoによって最も頻繁に遮断

された IPアドレスならびにアプリケーション/プロトコルを示します。特定のアプリケーション/プロトコルを使用し

た内部 IPアドレスの通信量がわかるため、ウイルスの感染や、不正なアクセスを試みている内部 IPアドレスを

特定することに役立ちます。

注意 – Palo Altoにて発生した通信の送信元と宛先が、共に内部アドレスとして記録されているイベントは、この

表では 2回としてカウントされます。送信元と宛先共にPalo Altoの外部 IPアドレスとして記録されているイベン

トは、この表に表示されません。


- 14 -

４.２外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断統計レポート

このページは、Palo Altoの外部で使用されている IPアドレスが送信元もしくは宛先に含まれる通信を、Palo Altoによって最も多く遮断した

IPアドレスならびにアプリケーション/プロトコルの統計を示します。縦軸は、通信が遮断された回数、横軸は通信が遮断された際、Palo

Altoに設定されていた日付を示しています。もし、通信を許可するべき IPアドレスやアプリケーション/プロトコルが存在する場合、Palo Alto

のルール設定の見直しを推奨致します。また、特定の IPアドレスから異常な通信が継続的に行われている場合は、ウイルスに感染してい

る可能性も考えられます。対象の IPアドレスに対して調査することを推奨致します。

192.168.76.99

192.168.47.9

192.168.182.80

192.168.65.66

192.168.77.660

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

外部クライアント/サーバによるプロトコルイベントの推移外部クライアント/サーバによるプロトコルイベントの推移

日

図4.2.1 外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の推移

1 2 3 4 5 6 7 8 9 10

11 12 13 14 15 16 17 18 19 20

0

10,000

20,000

30,000

40,000

50,000

60,000

70,000

12

34

56

78

910

1112

1314

1516

1718

1920

数

外部クライアント/サーバによるプロトコルイベント外部クライアント/サーバによるプロトコルイベント

種別

図4.2.2 外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要

※上記グラフ中の■に続く種別は下記、「外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表の項番とリンクしています。


- 15 -

表4.2.1 外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要

外部クライアント/サーバに生成されたアプリケーション/プロトコルイベント


1. 192.168.76.99 bittorrent(udp)(dst) 29,918 18.73%




















小計 66,762 41.80%

その他 284 0.17%

合計 67,046 41.98%





















小計 40,720 25.49%


- 16 -



その他 73 0.04%

合計 40,793 25.54%





















小計 14,708 9.21%

その他 39 0.02%

合計 14,747 9.23%






















- 17 -



小計 9,987 6.25%

その他 2 0.00%

合計 9,989 6.25%





















小計 8,167 5.11%

その他 49 0.03%

合計 8,216 5.14%

















その他 0 0.00%

合計 4,970 3.11%



- 18 -








その他 0 0.00%

合計 2,871 1.79%














その他 0 0.00%

合計 2,486 1.55%

9. 192.168.6.19 not-applicable(udp/port:520)(src) 1,021 0.63%








その他 0 0.00%

合計 2,478 1.55%

10. 192.168.77.49 not-applicable(udp/port:520)(src) 578 0.36%














- 19 -










小計 1,615 1.01%

その他 1 0.00%

合計 1,616 1.01%




その他 0 0.00%

合計 1,172 0.73%




その他 0 0.00%

合計 842 0.52%



その他 0 0.00%

合計 706 0.44%





















その他 0 0.00%


- 20 -



合計 500 0.31%



その他 0 0.00%

合計 472 0.29%



その他 0 0.00%

合計 285 0.17%








その他 0 0.00%

合計 120 0.07%

18. 192.168.82.1 bittorrent(udp)(dst) 42 0.02%




















小計 118 0.07%

その他 1 0.00%

合計 119 0.07%


20. 192.168.3.10 not-applicable(udp/port:dst)(dst) 9 0.00%

小計 159,456 99.85%

その他 236 0.14%


- 21 -



合計 159,692 100.00%

外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要- ヘルプカード

クライアント/サーバ – サービス開始時にお客様よりヒアリングしたPalo Altoの内部で使用している IPアドレス

以外の IPアドレスを表します。


表します。プロトコル名の後に(src)と(dst)が付与されます。(src)はクライアント/サーバが通信の送信元であるこ

とを表し、(dst)はクライアント/サーバが通信の宛先であることを表します。




イベント – 送信元もしくは宛先に外部 IPアドレスが含まれる通信を遮断した回数を表します。

その他 – 「外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表に記述されなかった通信遮

断件数の合計を表します。全ての通信遮断件数が表記されている場合、本見出しは表示されません。

合計 – 「外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表にて、表の列に記述してある

その他を含めた、通信遮断件数の合計を表します。

小計 – 「外部 IPアドレスが送信元もしくは宛先に含まれる通信遮断の概要」の表にて、表の列に記述してある

その他を含めない、通信遮断件数の合計を表します。全ての通信遮断件数が表記されている場合、本見出しは

表示されません。

このページは、外部 IPアドレスが送信元もしくは宛先に含まれる通信を、Palo Altoによって最も頻繁に遮断

された IPアドレスならびにアプリケーション/プロトコルを示します。特定のアプリケーション/プロトコルを使用し

た外部 IPアドレスの通信量がわかるため、ウイルスの感染や、不正なアクセスを試みている外部 IPアドレスを

特定することに役立ちます。

注意 – Palo Altoにて発生した通信の送信元と宛先が、共に外部アドレスとして記録されているイベントは、この

表では 2回としてカウントされます。送信元と宛先共にPalo Altoの内部 IPアドレスとして記録されているイベン

トは、この表に表示されません。


- 22 -

４.３ルール別アプリケーション通信遮断統計レポート

このページは、Palo Altoに設定したルールによって遮断された通信を、ルール毎に示しています。縦軸はPalo Altoのルールによって遮断

された通信の回数、横軸は通信が遮断された際、Palo Altoに設定されていた日付を示しています。遮断された通信が継続的且つ非常に多

く発生している場合は、アタックを受けている可能性が考えられます。遮断されているアプリケーション/プロトコルが見覚えないものであれ

ば調査が必要です。また、通信を遮断したアプリケーション/プロトコルを特定することで、ネットワークのリソースを無駄に使用しているア

プリケーション等を把握することも可能です。対象のアプリケーションを使用禁止にする等の対応を行うことで、ネットワークリソースの有効

活用が可能です。このページにはPalo Altoに設定したルールも表示されますので、継続的に遮断された通信が存在する場合は、Palo Alto

の設定内容もご確認頂くことを推奨致します。

rule1

rule6

rule3

rule2

rule40

200

400

600

800

1,000

1,200

1,400

1,600

1,800

2,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

プロトコルによってトリガされたファイアウォールルールの推移プロトコルによってトリガされたファイアウォールルールの推移

日

図4.3.1 ルール別アプリケーション通信遮断の推移

1 2 3 4 5 6

0

2,000

4,000

6,000

8,000

10,000

12,000

14,000

16,000

18,000

20,000

12

34

56

数

プロトコルによってトリガされるファイアウォールルールプロトコルによってトリガされるファイアウォールルール

種別

図4.3.2 ルール別アプリケーション通信遮断の概要

※上記グラフ中の■に続く種別は下記、「ルール別アプリケーション通信遮断の概要」の表の項番とリンクしています。


- 23 -

表4.3.1 ルール別アプリケーション通信遮断の概要

アプリケーション/プロトコルによってトリガされるファイアウォールルール

ルールアプリケーション/プロトコルイベント

1. rule1 bittorrent 8,066 7.27%

not-applicable(udp/port:520) 962 0.86%



not-applicable(udp/port: 0) 857 0.77%


not-applicable(tcp/port:1212) 663 0.59%

youtube 656 0.59%










not-applicable(tdp/port:49235) 263 0.23%



小計 18,472 16.66%

その他 108 0.09%

合計 18,580 16.76%

2. rule6 not-applicable(tcp/port:80) 8,065 7.27%




















小計 18,468 16.66%


- 24 -



その他 110 0.09%

合計 18,578 16.76%





















小計 18,315 16.52%

その他 102 0.09%

合計 18,417 16.61%

4. rule3 bittorrent(udp) 7,980 7.20%





















- 25 -



小計 18,316 16.52%

その他 101 0.09%

合計 18,417 16.61%





















小計 18,313 16.52%

その他 102 0.09%

合計 18,415 16.61%





















- 26 -




小計 18,313 16.52%

その他 102 0.09%

合計 18,415 16.61%

合計 110,822 100.00%

ルール別アプリケーション通信遮断統計レポートの概要 - ヘルプカード

ルール – Palo Altoを通過する通信に対して、IPアドレスやアプリケーション/プロトコルによってアクセス権を定

義したものです。


表します。




イベント – Palo Altoによって通信を遮断した回数を表します。

その他 – 「ルール別アプリケーション通信遮断の概要」の表に記述されなかった通信遮断件数の合計を表しま

す。全ての通信遮断件数が表記されている場合、本見出しは表示されません。

合計 – 「ルール別アプリケーション通信遮断の概要」の表にて、表の列に記述してあるその他を含めた、通信

遮断件数の合計を表します。

小計 – 「ルール別アプリケーション通信遮断の概要」の表にて、表の列に記述してあるその他を含めない、通

信遮断件数の合計を表します。全ての通信遮断件数が表記されている場合、本見出しは表示されません。

このページは、Palo Altoのルールによって遮断された通信のアプリケーション/プロトコルを示します。最も

頻繁に遮断されたアプリケーション/プロトコルを統計的に知ることができます。


- 27 -

５ SPI検知統計

５.１攻撃元 IPアドレス別検知統計レポート

このページは、Palo Altoにて検知した攻撃元 IPアドレス別アタックの統計情報を示します。縦軸はPalo Altoがアタックを検知した際に、そ

の旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示し

ています。Palo Altoおよびその内側に存在するサーバ等に対して、アタックを受けている可能性があります。攻撃元 IPアドレスの表示を元

に、Whoisデータベース等にアクセスして調査することを推奨致します。

10.212.200.107

0.0.0.0

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図5.1.1 攻撃元 IPアドレス別アタック発生の推移

1 2

06,000

12,00018,00024,00030,00036,00042,000

12

数

攻撃元別攻撃イベント攻撃元別攻撃イベント

種別

図5.1.2 攻撃元 IPアドレス別アタック発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃元 IPアドレス別アタック発生の概要」の表の項番とリンクしています。


- 28 -

表5.1.1 攻撃元 IPアドレス別アタック発生の概要

攻撃元別攻撃イベント

攻撃元攻撃種類回数

1. 10.212.200.107 SCAN: TCP Port Scan(8001) 14,667 25.01%

SCAN: UDP Port Scan(8003) 14,667 25.01%

SCAN: Host Sweep(8002) 14,606 24.91%

合計 43,940 74.95%

2. 0.0.0.0 flood 14,686 25.05%

合計 58,626 100.00%

攻撃元 IPアドレス別アタック発生の概要 - ヘルプカード

攻撃元 - 攻撃元 IPアドレスを表します。

Flood 系のアタック検知ログにて、攻撃元/先 IP アドレスが全て「0.0.0.0」と表示されるため、SPI 検知統計

における「Flood」攻撃の攻撃元/先 IP アドレスは全て「0.0.0.0」と表示されます。

攻撃種類 -攻撃元が攻撃先に対して行った攻撃の種類を表します。

Palo Alto の制限により「SYN Flood Protection」「ICMP Flood Protection」「UDPFlood Protection」「Other IP

Flood Protection」の検知ログ(以下:Flood 系のアタック)が別名のアタック検知として出力されるため、上記アタッ

ク検知ログは「Flood」アタックとして包含した統計情報としてレポートに記載します。

回数 - Palo Altoにてアタックを検知した際に、その旨を記したログを弊社監視センタにて取得した回数を表しま

す。

その他 – 「攻撃元IPアドレス別アタック発生の概要」の表に記述されなかったアタック発生の回数の合計を表し

ます。全てのアタック発生の回数が表記されている場合、本見出しは表示されません。

合計 - 「攻撃元 IPアドレス別アタック発生の概要」の表にて、表の列に記述してあるその他を含めた、アタック

発生の回数の合計を表します。

小計 - 「攻撃元 IPアドレス別アタック発生の概要」の表にて、表の列に記述してあるその他を含めない、アタッ

ク発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。

このページによって、Palo Altoにて検知した攻撃元 IPアドレス別アタックの検知状況を統計的に知ることが

できます。


- 29 -

５.２攻撃種類別検知統計レポート

このページは、Palo Altoにて検知した攻撃種類別アタックの統計情報を示します。縦軸はPalo Altoがアタックを検知した際に、その旨を記

したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示しています。

これらの統計情報により検知したアタックの推移や傾向の把握が可能です。

flood




200

400

600

800

1,000

1,200

1,400

1,600

1,800

2,000

2,200

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図5.2.1 攻撃種類別アタック発生の推移

1 2 3 4

0

2,000

4,000

6,000

8,000

10,000

12,000

14,000

12

34

数

攻撃種類別攻撃先攻撃種類別攻撃先

種別

図5.2.2 攻撃種類別アタック発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃種類別アタック発生の概要」の表の項番とリンクしています。

表5.2.1 攻撃種類別アタック発生の概要

攻撃種類別攻撃先

攻撃種類攻撃先回数

1. flood 0.0.0.0 14,686 25.05%

2. SCAN: TCP Port Scan(8001) 10.212.200.109 14,667 25.01%

3. SCAN: UDP Port Scan(8003) 10.212.200.109 14,667 25.01%

4. SCAN: Host Sweep(8002) 172.16.10.2 14,606 24.91%

合計 58,626 100.00%


- 30 -

攻撃種類別アタック発生の概要 - ヘルプカード





攻撃先 - 攻撃元より攻撃を受けた IPアドレスまたはホスト名を表します。



その他 – 「攻撃種類別アタック発生の概要」の表に記述されなかったアタック発生の回数の合計を表します。

全てのアタック発生の回数が表記されている場合、本見出しは表示されません。

回数 - 行われた攻撃の回数を表します。

合計 - 「攻撃種類別アタック発生の概要」の表にて、表の列に記述してあるその他を含めた、アタック発生のイ

ベント数の合計を表します。

小計 - 「攻撃種類別アタック発生の概要」の表にて、表の列に記述してあるその他を含めない、アタック発生の

回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されません。

最も行われた攻撃の種類と、攻撃の種類毎の攻撃先がこのページから分かります。


- 31 -

５.３攻撃元 IPアドレス別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃元 IPアドレス別アタックの統計情報を示します。縦軸はPalo Altoがアタックをブロックした際

に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を

示しています。攻撃元 IPアドレスの表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

0.0.0.0

10.212.200.107

0

1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

10,000

11,000

12,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図5.3.1 攻撃元 IPアドレス別アタック発生の推移

1 2

010,00020,00030,00040,00050,00060,00070,00080,000

12

数


種別

図5.3.2 攻撃元 IPアドレス別アタック発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃元 IPアドレス別アタック発生の概要」の表の項番とリンクしています。


- 32 -

表5.3.1 攻撃元 IPアドレス別アタック発生の概要



1. 0.0.0.0 flood 75,432 62.57%

2. 10.212.200.107 SCAN: TCP Port Scan(8001) 15,075 12.50%

SCAN: UDP Port Scan(8003) 15,034 12.47%

SCAN: Host Sweep(8002) 15,014 12.45%

合計 45,123 37.42%

合計 120,555 100.00%

攻撃元 IPアドレス別アタック発生の概要 - ヘルプカード








回数 - Palo Altoにてアタックをブロックした際に、その旨を記したログを弊社監視センタにて取得した回数を表

します。

その他 – 「攻撃元IPアドレス別アタック発生の概要」の表に記述されなかったアタック発生の回数の合計を表し

ます。全てのアタック発生の回数が表記されている場合、本見出しは表示されません。

合計 - 「攻撃元 IPアドレス別アタック発生の概要」の表にて、表の列に記述してあるその他を含めた、アタック

発生の回数の合計を表します。

小計 - 「攻撃元 IPアドレス別アタック発生の概要」の表にて、表の列に記述してあるその他を含めない、アタッ

ク発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。

このページによってPalo Altoにてブロックした、攻撃元 IPアドレス別アタックの発生状況を統計的に知るこ

とができます。


- 33 -

５.４攻撃種類別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃種類別アタックの統計情報を示します。縦軸はPalo Altoがアタックをブロックした際に、その

旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示して

います。これらの統計情報によりブロックしたアタックの推移や傾向の把握が可能です。

flood




1,000

2,000

3,000

4,000

5,000

6,000

7,000

8,000

9,000

10,000

11,000

12,000

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図5.4.1 攻撃種類別アタック発生の推移

1 2 3 4

0

10,000

20,000

30,000

40,000

50,000

60,000

70,000

80,000

12

34

数

攻撃種類別攻撃先攻撃種類別攻撃先

種別

図5.4.2 攻撃種類別アタック発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃種類別アタック発生の概要」の表の項番とリンクしています。

表5.4.1 攻撃種類別アタック発生の概要

攻撃種類別攻撃先

攻撃種類攻撃先回数

1. flood 0.0.0.0 75,432 62.57%

2. SCAN: TCP Port Scan(8001) 10.212.200.109 15,075 12.50%

3. SCAN: UDP Port Scan(8003) 10.212.200.109 15,034 12.47%

4. SCAN: Host Sweep(8002) 172.16.10.2 15,014 12.45%

合計 120,555 100.00%


- 34 -

攻撃種類別アタック発生の概要 - ヘルプカード








その他 – 「攻撃種類別アタック発生の概要」の表に記述されなかったアタック発生の回数の合計を表します。

全てのアタック発生の回数が表記されている場合、本見出しは表示されません。

回数 - 行われた攻撃回数を表します。

合計 - 「攻撃種類別アタック発生の概要」の表にて、表の列に記述してあるその他を含めた、アタック発生のイ

ベント数の合計を表します。

小計 - 「攻撃種類別アタック発生の概要」の表にて、表の列に記述してあるその他を含めない、アタック発生の

回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されません。



- 35 -

６ IDS/IPS検知統計

６.１攻撃元 IPアドレス別検知統計レポート

このページは、Palo Altoにて検知した攻撃元 IPアドレス別脆弱性攻撃の統計情報を示します。縦軸はPalo Altoが脆弱性攻撃を検知した際


示しています。Palo Altoおよびその内側に存在するサーバ等に対して、脆弱性攻撃を受けている可能性があります。攻撃元 IPアドレスの

表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

0

4

8

12

16

20

24

28

32

36

40

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図6.1.1 攻撃元 IPアドレス別脆弱性攻撃発生の推移

1

011223344

1

数


種別

図6.1.2 攻撃元 IPアドレス別脆弱性攻撃発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃元 IPアドレス別脆弱性攻撃発生の概要」の表の項番とリンクしています。


- 36 -

表6.1.1 攻撃元 IPアドレス別脆弱性攻撃発生の概要



1. 10.212.50.21 Adobe Acrobat and Adobe Reader U3D RHAdobeMeta

Buffer Overflow(32607)

43 100.00%

合計 43 100.00%

攻撃元 IPアドレス別脆弱性攻撃発生の概要 - ヘルプカード



回数 - Palo Altoにて脆弱性攻撃を検知した際に、その旨を記したログを弊社監視センタにて取得した回数を表

します。

その他 – 「攻撃元 IPアドレス別脆弱性攻撃発生の概要」の表に記述されなかった脆弱性攻撃発生の回数の合

計を表します。全ての脆弱性攻撃発生の回数が表記されている場合、本見出しは表示されません。

合計 - 「攻撃元 IPアドレス別脆弱性攻撃発生の概要」の表にて、表の列に記述してあるその他を含めた、脆弱

性攻撃発生の回数の合計を表します。

小計 - 「攻撃元 IPアドレス別脆弱性攻撃発生の概要」の表にて、表の列に記述してあるその他を含めない、脆

弱性攻撃発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示され

ません。

このページによって、Palo Altoにて検知した攻撃元 IPアドレス別脆弱性攻撃の検知状況を統計的に知るこ



- 37 -

６.２攻撃先 IPアドレス別検知統計レポート

このページは、Palo Altoにて検知した攻撃先 IPアドレス別脆弱性攻撃の統計情報を示します。縦軸はPalo Altoが脆弱性攻撃を検知した際


示しています。Palo Altoおよびその内側に存在するサーバ等に対して、脆弱性攻撃を受けている可能性があります。攻撃元 IPアドレスの

表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

0

4

8

12

16

20

24

28

32

36

40

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

攻撃先別攻撃イベントの推移攻撃先別攻撃イベントの推移

日

図6.2.1 攻撃先 IPアドレス別脆弱性攻撃発生の推移

1

011223344

1

数

攻撃先別攻撃イベント攻撃先別攻撃イベント

種別

図6.2.2 攻撃先 IPアドレス別脆弱性攻撃発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃先 IPアドレス別脆弱性攻撃発生の概要」の表の項番とリンクしています。


- 38 -

表6.2.1 攻撃先 IPアドレス別脆弱性攻撃発生の概要

攻撃先別攻撃イベント

攻撃先攻撃種類回数

1. 192.168.7.20 Adobe Acrobat and Adobe Reader U3D RHAdobeMeta

Buffer Overflow(32607)

43 100.00%

合計 43 100.00%

攻撃先 IPアドレス別脆弱性攻撃発生の概要 - ヘルプカード

攻撃先 - 攻撃元 IPアドレスを表します。


回数 - Palo Altoにて脆弱性攻撃を検知した際に、その旨を記したログを弊社監視センタにて取得した回数を表

します。







ません。

このページによって、Palo Altoにて検知した攻撃元 IPアドレス別脆弱性攻撃の検知状況を統計的に知るこ



- 39 -

６.３攻撃種類別検知統計レポート

このページは、Palo Altoにて検知した攻撃種類別脆弱性攻撃の統計情報を示します。縦軸はPalo Altoが脆弱性攻撃を検知した際に、その

旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示して

います。これらの統計情報により検知した脆弱性攻撃の推移や傾向の把握が可能です。

0

4

8

12

16

20

24

28

32

36

40

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図6.3.1 攻撃種類別脆弱性攻撃発生の推移

1

011223344

1

数

攻撃種類別攻撃元攻撃種類別攻撃元

種別

図6.3.2 攻撃種類別脆弱性攻撃発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃種類別脆弱性攻撃発生の概要」の表の項番とリンクしています。

表6.3.1 攻撃種類別脆弱性攻撃発生の概要

攻撃種類別攻撃元

攻撃種類攻撃元回数

1. Adobe Acrobat and Adobe Reader U3D

RHAdobeMeta Buffer Overflow(32607)

10.212.50.21 43 100.00%

合計 43 100.00%


- 40 -

攻撃種類別脆弱性攻撃発生の概要 - ヘルプカード



その他 – 「攻撃種類別脆弱性攻撃発生の概要」の表に記述されなかった脆弱性攻撃発生の回数の合計を表し

ます。全ての脆弱性攻撃発生の回数が表記されている場合、本見出しは表示されません。


合計 - 「攻撃種類別脆弱性攻撃発生の概要」の表にて、表の列に記述してあるその他を含めた、脆弱性攻撃

発生のイベント数の合計を表します。

小計 - 「攻撃種類別脆弱性攻撃発生の概要」の表にて、表の列に記述してあるその他を含めない、脆弱性攻

撃発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。



- 41 -

６.４攻撃元 IPアドレス別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃元 IPアドレス別脆弱性攻撃の統計情報を示します。縦軸はPalo Altoが脆弱性攻撃をブロック

した際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた

日付を示しています。攻撃元 IPアドレスの表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

0

200

400

600

800

1,000

1,200

1,400

1,600

1,800

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図6.4.1 攻撃元 IPアドレス別脆弱性攻撃発生の推移

1

0500

1,0001,5002,000

1

数


種別

図6.4.2 攻撃元 IPアドレス別脆弱性攻撃発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃元 IPアドレス別脆弱性攻撃発生の概要」の表の項番とリンクしています。


- 42 -

表6.4.1 攻撃元 IPアドレス別脆弱性攻撃発生の概要



1. 10.212.39.118 Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting

Vulnerability(32126)

1,921 100.00%

合計 1,921 100.00%

攻撃元 IPアドレス別脆弱性攻撃発生の概要 - ヘルプカード



回数 - Palo Altoにて脆弱性攻撃をブロックした際に、その旨を記したログを弊社監視センタにて取得した回数

を表します。







ません。

このページによってPalo Altoにてブロックした、攻撃元 IPアドレス別脆弱性攻撃の発生状況を統計的に知

ることができます。


- 43 -

６.５攻撃先 IPアドレス別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃先 IPアドレス別脆弱性攻撃の統計情報を示します。縦軸はPalo Altoが脆弱性攻撃をブロック


日付を示しています。攻撃元 IPアドレスの表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

192.168.7.159

192.168.7.160

192.168.7.155

192.168.7.150

192.168.7.1510

100

200

300

400

500

600

700

800

900

1,000

1,100

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図6.5.1 攻撃先 IPアドレス別脆弱性攻撃発生の推移

1 2 3 4 5 6 7 8 9 10 11

0

100

200

300

400

500

600

700

800

900

1,000

1,100

12

34

56

78

910

11

数


種別

図6.5.2 攻撃先 IPアドレス別脆弱性攻撃発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃先 IPアドレス別脆弱性攻撃発生の概要」の表の項番とリンクしています。


- 44 -

表6.5.1 攻撃先 IPアドレス別脆弱性攻撃発生の概要



1. 192.168.7.159 Apache HTTP Server mod_proxy_ftp Wildcard Characters

Cross-Site Scripting Vulnerability(32126)

1,048 54.55%



292 15.20%



235 12.23%



177 9.21%



116 6.03%



38 1.97%



3 0.15%



3 0.15%



3 0.15%



3 0.15%



3 0.15%

合計 1,921 100.00%


- 45 -

攻撃先 IPアドレス別脆弱性攻撃発生の概要 - ヘルプカード

攻撃先 - 攻撃先 IPアドレスを表します。


回数 - Palo Altoにて脆弱性攻撃をブロックした際に、その旨を記したログを弊社監視センタにて取得した回数

を表します。







ません。

このページによってPalo Altoにてブロックした、攻撃元 IPアドレス別脆弱性攻撃の発生状況を統計的に知



- 46 -

６.６攻撃種類別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃種類別脆弱性攻撃の統計情報を示します。縦軸はPalo Altoが脆弱性攻撃をブロックした際に、

その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示

しています。これらの統計情報によりブロックした脆弱性攻撃の推移や傾向の把握が可能です。

0

200

400

600

800

1,000

1,200

1,400

1,600

1,800

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図6.6.1 攻撃種類別脆弱性攻撃発生の推移

1

0500

1,0001,5002,000

1

数


種別

図6.6.2 攻撃種類別脆弱性攻撃発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃種類別脆弱性攻撃発生の概要」の表の項番とリンクしています。

表6.6.1 攻撃種類別脆弱性攻撃発生の概要



1. Apache HTTP Server mod_proxy_ftp Wildcard Characters Cross-Site Scripting

Vulnerability(32126)

10.212.39.118 1,921 100.00%

合計 1,921 100.00%


- 47 -

攻撃種類別脆弱性攻撃発生の概要 - ヘルプカード



その他 – 「攻撃種類別脆弱性攻撃発生の概要」の表に記述されなかった脆弱性攻撃発生の回数の合計を表し

ます。全ての脆弱性攻撃発生の回数が表記されている場合、本見出しは表示されません。


合計 - 「攻撃種類別脆弱性攻撃発生の概要」の表にて、表の列に記述してあるその他を含めた、脆弱性攻撃

発生のイベント数の合計を表します。

小計 - 「攻撃種類別脆弱性攻撃発生の概要」の表にて、表の列に記述してあるその他を含めない、脆弱性攻

撃発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。



- 48 -

７スパイウェア検知統計

７.１攻撃元 IPアドレス別検知統計レポート

このページは、Palo Altoにて検知した攻撃元 IPアドレス別スパイウェアの統計情報を示します。縦軸はPalo Altoがスパイウェアを検知し

た際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた

日付を示しています。Palo Altoおよびその内側に存在するサーバ等に対して、スパイウェアを受けている可能性があります。攻撃元 IPアド

レスの表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

192.168.7.105

192.168.7.109

192.168.7.106

0

10

20

30

40

50

60

70

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図7.1.1 攻撃元 IPアドレス別スパイウェア発生の推移

1 2 3

0

10

20

30

40

50

60

70

12

3

数


種別

図7.1.2 攻撃元 IPアドレス別スパイウェア発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃元 IPアドレス別スパイウェア発生の概要」の表の項番とリンクしています。


- 49 -

表7.1.1 攻撃元 IPアドレス別スパイウェア発生の概要



1. 192.168.7.105 Music_Starware_Toolbar Initial request to server on startup

of IE(11912)

70 50.72%


of IE(11912)

41 29.71%


of IE(11912)

27 19.56%

合計 138 100.00%

攻撃元 IPアドレス別スパイウェア発生の概要 - ヘルプカード



回数 - Palo Altoにてスパイウェアを検知した際に、その旨を記したログを弊社監視センタにて取得した回数を

表します。

その他 – 「攻撃元 IPアドレス別スパイウェア発生の概要」の表に記述されなかったスパイウェア発生の回数の

合計を表します。全てのスパイウェア発生の回数が表記されている場合、本見出しは表示されません。

合計 - 「攻撃元 IPアドレス別スパイウェア発生の概要」の表にて、表の列に記述してあるその他を含めた、ス

パイウェア発生の回数の合計を表します。

小計 - 「攻撃元 IPアドレス別スパイウェア発生の概要」の表にて、表の列に記述してあるその他を含めない、

スパイウェア発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示

されません。

このページによって、Palo Altoにて検知した攻撃元IPアドレス別スパイウェアの検知状況を統計的に知るこ



- 50 -

７.２攻撃先 IPアドレス別検知統計レポート

このページは、Palo Altoにて検知した攻撃先 IPアドレス別スパイウェアの統計情報を示します。縦軸はPalo Altoがスパイウェアを検知し

た際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた

日付を示しています。Palo Altoおよびその内側に存在するサーバ等に対して、スパイウェアを受けている可能性があります。攻撃元 IPアド

レスの表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

0102030405060708090

100110120130140

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図7.2.1 攻撃先 IPアドレス別スパイウェア発生の推移

1

040

80

120

1

数

攻撃先別外部攻撃イベント攻撃先別外部攻撃イベント

種別

図7.2.2 攻撃先 IPアドレス別スパイウェア発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃先 IPアドレス別スパイウェア発生の概要」の表の項番とリンクしています。


- 51 -

表7.2.1 攻撃先 IPアドレス別スパイウェア発生の概要

攻撃先別外部攻撃イベント


1. 10.5.3.100 Music_Starware_Toolbar Initial request to server on startup of IE(11912) 138 100.00%

合計 138 100.00%

攻撃先 IPアドレス別スパイウェア発生の概要 - ヘルプカード



回数 - Palo Altoにてスパイウェアを検知した際に、その旨を記したログを弊社監視センタにて取得した回数を

表します。







されません。

このページによって、Palo Altoにて検知した攻撃元IPアドレス別スパイウェアの検知状況を統計的に知るこ



- 52 -

７.３攻撃種類別検知統計レポート

このページは、Palo Altoにて検知した攻撃種類別スパイウェアの統計情報を示します。縦軸はPalo Altoがスパイウェアを検知した際に、そ

の旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示し

ています。これらの統計情報により検知したスパイウェアの推移や傾向の把握が可能です。

0102030405060708090

100110120130140

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図7.3.1 攻撃種類別スパイウェア発生の推移

1

040

80

120

1

数


種別

図7.3.2 攻撃種類別スパイウェア発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃種類別スパイウェア発生の概要」の表の項番とリンクしています。

表7.3.1 攻撃種類別スパイウェア発生の概要



1. Music_Starware_Toolbar Initial request to server

on startup of IE(11912)

192.168.7.105 70 50.72%

192.168.7.109 41 29.71%

192.168.7.106 27 19.56%

合計 138 100.00%

合計 138 100.00%


- 53 -

攻撃種類別スパイウェア発生の概要 - ヘルプカード



その他 – 「攻撃種類別スパイウェア発生の概要」の表に記述されなかったスパイウェア発生の回数の合計を

表します。全てのスパイウェア発生の回数が表記されている場合、本見出しは表示されません。


合計 - 「攻撃種類別スパイウェア発生の概要」の表にて、表の列に記述してあるその他を含めた、スパイウェ

ア発生のイベント数の合計を表します。

小計 - 「攻撃種類別スパイウェア発生の概要」の表にて、表の列に記述してあるその他を含めない、スパイウ

ェア発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。



- 54 -

７.４攻撃元 IPアドレス別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃元 IPアドレス別スパイウェアの統計情報を示します。縦軸はPalo Altoがスパイウェアをブロ

ックした際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されて

いた日付を示しています。攻撃元 IPアドレスの表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

0

10

20

30

40

50

60

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図7.4.1 攻撃元 IPアドレス別スパイウェア発生の推移

1

0

20

40

60

1

数


種別

図7.4.2 攻撃元 IPアドレス別スパイウェア発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃元 IPアドレス別スパイウェア発生の概要」の表の項番とリンクしています。


- 55 -

表7.4.1 攻撃元 IPアドレス別スパイウェア発生の概要



1. 10.212.200.178 Win32.Conficker.C p2p(12544) 59 100.00%

合計 59 100.00%

攻撃元 IPアドレス別スパイウェア発生の概要 - ヘルプカード



回数 - Palo Altoにてスパイウェアをブロックした際に、その旨を記したログを弊社監視センタにて取得した回数

を表します。







されません。

このページによってPalo Altoにてブロックした、攻撃元 IPアドレス別スパイウェアの発生状況を統計的に知



- 56 -

７.５攻撃先 IPアドレス別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃先 IPアドレス別スパイウェアの統計情報を示します。縦軸はPalo Altoがスパイウェアをブロ

ックした際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されて

いた日付を示しています。攻撃元 IPアドレスの表示を元に、Whoisデータベース等にアクセスして調査することを推奨致します。

0

10

20

30

40

50

60

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図7.5.1 攻撃先 IPアドレス別スパイウェア発生の推移

1

0

20

40

60

1

数

攻撃元別外部攻撃イベント攻撃元別外部攻撃イベント

種別

図7.5.2 攻撃先 IPアドレス別スパイウェア発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃先 IPアドレス別スパイウェア発生の概要」の表の項番とリンクしています。


- 57 -

表7.5.1 攻撃先 IPアドレス別スパイウェア発生の概要



1. 192.168.7.10 Win32.Conficker.C

p2p(12544)

59 100.00%

合計 59 100.00%

攻撃先 IPアドレス別スパイウェア発生の概要 - ヘルプカード

攻撃先 - 攻撃先 IPアドレスを表します。


回数 - Palo Altoにてスパイウェアをブロックした際に、その旨を記したログを弊社監視センタにて取得した回数

を表します。







されません。

このページによってPalo Altoにてブロックした、攻撃元 IPアドレス別スパイウェアの発生状況を統計的に知



- 58 -

７.６攻撃種類別ブロック統計レポート

このページは、Palo Altoにてブロックした攻撃種類別スパイウェアの統計情報を示します。縦軸はPalo Altoがスパイウェアをブロックした際


示しています。これらの統計情報によりブロックしたスパイウェアの推移や傾向の把握が可能です。

0

10

20

30

40

50

60

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図7.6.1 攻撃種類別スパイウェア発生の推移

1

0

20

40

60

1

数


種別

図7.6.2 攻撃種類別スパイウェア発生の概要

※上記グラフ中の■に続く種別は下記、「攻撃種類別スパイウェア発生の概要」の表の項番とリンクしています。

表7.6.1 攻撃種類別スパイウェア発生の概要



1. Win32.Conficker.C p2p(12544) 10.212.200.178 59 100.00%

合計 59 100.00%


- 59 -

攻撃種類別スパイウェア発生の概要 - ヘルプカード



その他 – 「攻撃種類別スパイウェア発生の概要」の表に記述されなかったスパイウェア発生の回数の合計を

表します。全てのスパイウェア発生の回数が表記されている場合、本見出しは表示されません。


合計 - 「攻撃種類別スパイウェア発生の概要」の表にて、表の列に記述してあるその他を含めた、スパイウェ

ア発生のイベント数の合計を表します。

小計 - 「攻撃種類別スパイウェア発生の概要」の表にて、表の列に記述してあるその他を含めない、スパイウ

ェア発生の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。



- 60 -

８ウイルス検知統計

８.１攻撃元 IPアドレス別ウイルス検知統計レポート

このページは、Palo Altoにて検知した攻撃元 IPアドレス別ウイルスの統計情報を示します。縦軸はPalo Altoがウイルスを検知した際に、


しています。Palo Altoおよびその内側に存在するサーバ等に対して、ウイルスを受けている可能性があります。攻撃元IPアドレスの表示を

元に、Whoisデータベース等にアクセスして調査することを推奨致します。

192.168.121.150

192.168.1.5

192.168.1.8

192.168.11.150

192.168.8.1500

1

2

3

4

5

6

7

8

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図8.1.1 攻撃元 IPアドレス別ウイルス検知の推移

1 2 3 4 5 6 7 8 9

10 11 12 13 14 15 16 17

02468

1012141618202224262830

12

34

56

78

910

1112

1314

1516

17

数


種別

図8.1.2 攻撃元 IPアドレス別ウイルス検知の概要

※上記グラフ中の■に続く種別は下記、「攻撃元 IPアドレス別ウイルス検知の概要」の表の項番とリンクしています。


- 61 -

表8.1.1攻撃元 IPアドレス別ウイルス検知の概要

攻撃元 IPアドレス別ウイルス検知の概要


1. 192.168.121.150 Trojan/Js.Agent.mkxi(259133) 25 37.31%

Eicar Test File(100000) 4 5.97%

Worm/Win32.autorun.cfqs(2026444) 2 2.98%

合計 31 46.26%

2. 192.168.1.5 Trojan-clicker/Js.Small.bdbo(255088) 4 5.97%

Virus/Js.Pdfka.nj(251807) 1 1.49%


合計 6 8.95%

3. 192.168.1.8 Virus/Js.Pdfka.nj(251807) 4 5.97%


合計 5 7.46%

4. 192.168.11.150 Eicar Test File(100000) 2 2.98%


Trojan/Js.Agent.mkxi(259133) 1 1.49%

合計 5 7.46%

5. 192.168.8.150 Eicar Test File(100000) 2 2.98%


合計 4 5.97%

6. 192.168.5.150 Eicar Test File(100000) 3 4.47%

7. 192.168.1.150 Eicar Test File(100000) 2 2.98%


9. 192.168.1.6 Eicar Test File(100000) 1 1.49%








17. 192.168.3.150 Eicar Test File(100000) 1 1.49%

合計 67 100.00%


- 62 -

攻撃元 IPアドレス別ウイルス検知の概要 - ヘルプカード



回数 - Palo Altoにてウイルスを検知した際に、その旨を記したログを弊社監視センタにて取得した回数を表し

ます。

その他 – 「攻撃元 IPアドレス別ウイルス検知の概要」の表に記述されなかったウイルス検知の回数の合計を

表します。全てのウイルス検知の回数が表記されている場合、本見出しは表示されません。

合計 - 「攻撃元 IPアドレス別ウイルス検知の概要」の表にて、表の列に記述してあるその他を含めた、ウイル

ス検知の回数の合計を表します。

小計 - 「攻撃元 IPアドレス別ウイルス検知の概要」の表にて、表の列に記述してあるその他を含めない、ウイ

ルス検知の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。

このページによって、Palo Altoにて検知した攻撃元 IPアドレス別ウイルスの検知状況を統計的に知ること

ができます。


- 63 -

８.２攻撃先 IPアドレス別ウイルス検知統計レポート

このページは、Palo Altoにて検知した攻撃先 IPアドレス別ウイルスの統計情報を示します。縦軸はPalo Altoがウイルスを検知した際に、


しています。Palo Altoおよびその内側に存在するサーバ等に対して、ウイルスを受けている可能性があります。攻撃元IPアドレスの表示を

元に、Whoisデータベース等にアクセスして調査することを推奨致します。

192.168.145.104

192.168.1.78

192.168.100.104

192.168.1.15

192.168.112.1040

1

2

3

4

5

6

7

8

9

10

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図8.2.1 攻撃先 IPアドレス別ウイルス検知の推移

1 2 3 4 5 6

0

10

20

30

40

50

60

12

34

56

数


種別

図8.2.2 攻撃先 IPアドレス別ウイルス検知の概要

※上記グラフ中の■に続く種別は下記、「攻撃先 IPアドレス別ウイルス検知の概要」の表の項番とリンクしています。


- 64 -

表8.2.1 攻撃先 IPアドレス別ウイルス検知の概要

攻撃先 IPアドレス別ウイルス検知の概要



Eicar Test File(100000) 14 20.89%


合計 55 82.09%

2. 192.168.1.78 Trojan-clicker/Js.Small.bdbo(255088) 4 5.97%

Virus/Js.Pdfka.nj(251807) 2 2.98%

合計 6 8.95%

3. 192.168.100.104 Virus/Js.Pdfka.nj(251807) 2 2.98%


合計 3 4.47%

4. 192.168.1.15 Virus/Js.Pdfka.nj(251807) 1 1.49%

5. 192.168.112.104 Worm/Win32.autorun.cfqs(2026444) 1 1.49%

6. 192.168.187.104 Eicar Test File(100000) 1 1.49%

合計 67 100.00%

攻撃先 IPアドレス別ウイルス検知の概要 - ヘルプカード



回数 - Palo Altoにてウイルスを検知した際に、その旨を記したログを弊社監視センタにて取得した回数を表し

ます。

その他 – 「攻撃元 IPアドレス別ウイルス検知の概要」の表に記述されなかったウイルス検知の回数の合計を

表します。全てのウイルス検知の回数が表記されている場合、本見出しは表示されません。

合計 - 「攻撃元 IPアドレス別ウイルス検知の概要」の表にて、表の列に記述してあるその他を含めた、ウイル

ス検知の回数の合計を表します。

小計 - 「攻撃元 IPアドレス別ウイルス検知の概要」の表にて、表の列に記述してあるその他を含めない、ウイ

ルス検知の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。

このページによって、Palo Altoにて検知した攻撃元 IPアドレス別ウイルスの検知状況を統計的に知ること

ができます。


- 65 -

８.３攻撃種類別ウイルス検知統計レポート

このページは、Palo Altoにて検知した攻撃種類別ウイルスの統計情報を示します。縦軸はPalo Altoがウイルスを検知した際に、その旨を

記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示していま

す。これらの統計情報により検知したウイルスの推移や傾向の把握が可能です。

Trojan/Js.Agent.mkxi(259133)

Eicar Test File(100000)

Worm/Win32.autorun.cfqs(2026444)

Virus/Js.Pdfka.nj(251807)

Trojan-clicker/Js.Small.bdbo(255088)0

1

2

3

4

5

6

7

8

9

10

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数

攻撃種類別攻撃元の推移攻撃種類別攻撃元の推移

日

図8.3.1 攻撃種類別ウイルス検知の推移

1 2 3 4 5

0

3

6

9

12

15

18

21

24

27

30

33

12

34

5

数


種別

図8.3.2 攻撃種類別ウイルス検知の概要

※上記グラフ中の■に続く種別は下記、「攻撃種類別ウイルス検知の概要」の表の項番とリンクしています。


- 66 -

表8.3.1 攻撃種類ウイルス検知の概要

攻撃種類ウイルス検知の概要


1. Trojan/Js.Agent.mkxi(259133) 192.168.121.150 25 37.31%

192.168.188.150 2 2.98%

192.168.11.150 1 1.49%

192.168.12.150 1 1.49%

192.168.120.150 1 1.49%

192.168.149.150 1 1.49%

192.168.156.150 1 1.49%

192.168.174.150 1 1.49%

192.168.21.150 1 1.49%

192.168.221.150 1 1.49%

合計 35 52.23%

2. Eicar Test File(100000) 192.168.121.150 4 5.97%

192.168.5.150 3 4.47%

192.168.1.150 2 2.98%

192.168.11.150 2 2.98%

192.168.8.150 2 2.98%

192.168.1.6 1 1.49%

192.168.3.150 1 1.49%

合計 15 22.38%

3. Worm/Win32.autorun.cfqs(2026444) 192.168.11.150 2 2.98%

192.168.121.150 2 2.98%

192.168.8.150 2 2.98%

192.168.1.5 1 1.49%

192.168.1.8 1 1.49%

合計 8 11.94%

4. Virus/Js.Pdfka.nj(251807) 192.168.1.8 4 5.97%

192.168.1.5 1 1.49%

合計 5 7.46%

5. Trojan-clicker/Js.Small.bdbo(255088) 192.168.1.5 4 5.97%

合計 67 100.00%


- 67 -

攻撃種類別ウイルス検知の概要 - ヘルプカード



その他 – 「攻撃種類別ウイルス検知の概要」の表に記述されなかったウイルス検知の回数の合計を表しま

す。全てのウイルス検知の回数が表記されている場合、本見出しは表示されません。


合計 - 「攻撃種類別ウイルス検知の概要」の表にて、表の列に記述してあるその他を含めた、ウイルス検知の

イベント数の合計を表します。

小計 - 「攻撃種類別ウイルス検知の概要」の表にて、表の列に記述してあるその他を含めない、ウイルス検知

の回数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されません。



- 68 -

８.４攻撃元 IPアドレス別ウイルスブロック統計レポート

今月は、攻撃元 IPアドレス別ウイルスブロック統計に関するログはありませんでした。

８.５攻撃先 IPアドレス別ウイルスブロック統計レポート

今月は、攻撃先 IPアドレス別ウイルスブロック統計に関するログはありませんでした。

８.６攻撃種類別ウイルスブロック統計レポート

今月は、攻撃種類別ウイルスブロック統計に関するログはありませんでした。


- 69 -

９ URLフィルタリング検知統計

９.１カテゴリ別 IPアドレス URL検知統計レポート

このページは、Palo Altoにて検知したカテゴリ別 IPアドレスURLフィルタリングの統計情報を示します。縦軸はPalo AltoがURLフィルタリ

ングを検知した際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定

されていた日付を示しています。これらの統計情報により、どのようなカテゴリサイトへのアクセス数が多いのか傾向の把握が可能です。

search-engines

streaming-media

0

3

6

9

12

15

18

21

24

27

30

33

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

数

フィルタ対象カテゴリ別ユーザの推移フィルタ対象カテゴリ別ユーザの推移

日

図9.1.1 カテゴリ別 IPアドレスURL検知の推移

1 2

0

30

60

90

120

150

12

数

フィルタ対象カテゴリ別ユーザフィルタ対象カテゴリ別ユーザ

種別

図9.1.2 カテゴリ別 IPアドレスURL検知の概要

※上記グラフ中の■に続く種別は下記、「カテゴリ別 IPアドレスURL検知の概要」の表の項番とリンクしています。


- 70 -

表9.1.1 カテゴリ別 IPアドレスURL検知の概要

カテゴリ別 IPアドレスURL検知の概要

カテゴリユーザ回数

1. search-engines 192.168.4.20 71 38.37%

192.168.4.10 65 35.13%

192.168.4.21 5 2.70%

192.168.4.22 5 2.70%

192.168.4.23 5 2.70%

192.168.4.24 5 2.70%

合計 156 84.32%

2. streaming-media 192.168.4.10 29 15.67%

合計 185 100.00%

カテゴリ別 IPアドレスURL検知の概要- ヘルプカード

カテゴリ - URLサイトの属するカテゴリを表します。

ユーザ – フィルタリングされた IPアドレスを表します。

回数 – 行われた検知回数を表します。

その他 – 「カテゴリ別 IPアドレス URL 検知の概要」の表に記述されなかったフィルタリング検知回数の合計を

表します。全てのフィルタリング検知の回数が表記されている場合、本見出しは表示されません。

合計 - 「カテゴリ別 IPアドレスURL検知の概要」の表にて、表の列に記述してあるその他を含めた、フィルタ

リング検知数の合計を表します。

小計 - 「カテゴリ別 IPアドレスURL検知の概要」の表にて、表の列に記述してあるその他を含めない、フィル

タリング検知数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されませ

ん。

最もアクセスが検知されたURLサイトの属するカテゴリが分かります。


- 71 -

９.２ IPアドレス別URLサイト検知統計レポート

このページは、Palo Altoにて検知した IPアドレス別URLサイト検知の統計情報を示します。縦軸はPalo AltoがURLフィルタリングを検知


日付を示しています。これらの統計情報により、どのようなカテゴリサイトへのアクセス数が多いのか傾向の把握が可能です。

192.168.4.10

192.168.4.20

192.168.4.21

192.168.4.22

192.168.4.230

3

6

9

12

15

18

21

24

27

30

33

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

数

フィルタ対象ユーザ別アドレスの推移フィルタ対象ユーザ別アドレスの推移

日

図9.2.1 IPアドレス別URLサイト検知の推移

1 2 3 4 5 6

0

10

20

30

40

50

60

70

80

90

100

12

34

56

数

フィルタ対象ユーザ別アドレスフィルタ対象ユーザ別アドレス

種別

図9.2.2 IPアドレス別URLサイト検知の概要

※上記グラフ中の■に続く種別は下記、「IPアドレス別URLサイト検知の概要」の表の項番とリンクしています。


- 72 -

表9.2.1 IPアドレス別URLサイト検知の概要

送信元 IPアドレス別URLフィルタリング検知の概要

ユーザアドレス回数

1. 192.168.4.10 www.google.co.jp/(alert) 49 26.48%

www.youtube.com/(alert) 29 15.67%

www.yahoo.co.jp/(alert) 11 5.94%

search.live.com/(alert) 3 1.62%

www.bing.com/(alert) 2 1.08%

合計 94 50.81%






合計 185 100.00%

IPアドレス別URLサイト検知の概要- ヘルプカード

アドレス - URLサイトのドメイン名を表します。


回数 – 行われた検知回数を表します。

その他 – 「IPアドレス別URLサイト検知の概要」の表に記述されなかったフィルタリング検知回数の合計を表し

ます。全てのフィルタリング検知の回数が表記されている場合、本見出しは表示されません。

合計 - 「IPアドレス別URLサイト検知の概要」の表にて、表の列に記述してあるその他を含めた、フィルタリン

グ検知数の合計を表します。

小計 - 「IPアドレス別URLサイト検知の概要」の表にて、表の列に記述してあるその他を含めない、フィルタリ

ング検知数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されません。

最もアクセスが検知された IPアドレスがアクセスしたURLサイトのドメイン名が分かります。


- 73 -

９.３カテゴリ別 IPアドレスブロック統計レポート

このページは、Palo Altoにてブロックしたカテゴリ別 IPアドレスURLフィルタリングの統計情報を示します。縦軸はPalo AltoがURLフィル

タリングをブロックした際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Alto

に設定されていた日付を示しています。これらの統計情報により、どのようなカテゴリサイトへのアクセス数が多いのか傾向の把握が可能

です。

Personals & Dating

Gambling

Games

Hate Speech

Hacking0

3

6

9

12

15

18

21

24

27

30

12/0212/03

12/0412/05

12/0612/07

12/0812/09

12/1012/11

12/1212/13

12/1412/15

12/1612/17

12/1812/19

12/2012/21

数

フィルタ対象カテゴリ別ユーザの推移フィルタ対象カテゴリ別ユーザの推移

日

図9.3.1 カテゴリ別 IPアドレスURLブロックの推移

1 2 3 4 5 6

0

10

20

30

40

50

60

70

80

90

100

12

34

56

数

フィルタ対象カテゴリ別ユーザフィルタ対象カテゴリ別ユーザ

種別

図9.3.2 カテゴリ別 IPアドレスURLブロックの概要

※上記グラフ中の■に続く種別は下記、「カテゴリ別 IPアドレスURLブロックの概要」の表の項番とリンクしています。


- 74 -

表9.3.1 カテゴリ別 IPアドレスURLブロックの概要

カテゴリ別ユーザ

カテゴリユーザ回数

1. Personals & Dating 192.168.4.20 54 34.61%

192.168.4.10 40 25.64%

合計 94 60.25%

2. Gambling 192.168.4.20 24 15.38%

3. Games 192.168.4.13 18 11.53%

4. Hate Speech 192.168.4.12 14 8.97%

5. Hacking 192.168.4.11 4 2.56%

6. Violence 192.168.4.14 2 1.28%

合計 156 100.00%

カテゴリ別 IPアドレスURLブロックの概要- ヘルプカード

カテゴリ - URLサイトの属するカテゴリを表します。


回数 – 行われたブロック回数を表します。

その他 – 「カテゴリ別 IPアドレス URL ブロックの概要」の表に記述されなかったフィルタリングブロック回数の

合計を表します。全てのフィルタリングブロックの回数が表記されている場合、本見出しは表示されません。

合計 - 「カテゴリ別IPアドレスURLブロックの概要」の表にて、表の列に記述してあるその他を含めた、フィル

タリングブロック数の合計を表します。

小計 - 「カテゴリ別IPアドレスURLブロックの概要」の表にて、表の列に記述してあるその他を含めない、フィ

ルタリングブロック数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示され

ません。

最もアクセスがブロックされたURLサイトの属するカテゴリが分かります。


- 75 -

９.４ IPアドレス別URLサイトブロック統計レポート

このページは、Palo Altoにてブロックした IPアドレス別URLサイトブロックの統計情報を示します。縦軸はPalo AltoがURLフィルタリング

をブロックした際に、その旨を記したログを弊社監視センタにて取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定

されていた日付を示しています。これらの統計情報により、どのようなカテゴリサイトへのアクセス数が多いのか傾向の把握が可能です。

192.168.4.20

192.168.4.10

192.168.4.13

192.168.4.12

192.168.4.1102468

1012141618202224

12/0212/03

12/0412/05

12/0612/07

12/0812/09

12/1012/11

12/1212/13

12/1412/15

12/1612/17

12/1812/19

12/2012/21

数

フィルタ対象ユーザ別アドレスの推移フィルタ対象ユーザ別アドレスの推移

日

図9.4.1 IPアドレス別URLサイトブロックの推移

1 2 3 4 5 6

0

10

20

30

40

50

60

70

80

12

34

56

数

フィルタ対象ユーザ別アドレスフィルタ対象ユーザ別アドレス

種別

図9.4.2 IPアドレス別URLサイトブロックの概要

※上記グラフ中の■に続く種別は下記、「IPアドレス別URLサイトブロックの概要」の表の項番とリンクしています。


- 76 -

表9.4.1 IPアドレス別URLサイトブロックの概要

ユーザ別URL

ユーザアドレス回数

1. 192.168.4.20 www.facebook.com/(block) 54 34.61%

www.jra.go.jp/(block) 24 15.38%

合計 78 50.00%

2. 192.168.4.10 www.mixi.jp/(block) 40 25.64%

3. 192.168.4.13 192.168.5.3/(block) 18 11.53%

4. 192.168.4.12 192.168.5.2/(block) 14 8.97%

5. 192.168.4.11 192.168.5.1/(block) 4 2.56%

6. 192.168.4.14 192.168.5.4/(block) 2 1.28%

合計 156 100.00%

IPアドレス別URLサイトブロックの概要- ヘルプカード

アドレス - URLサイトのドメイン名を表します。


回数 – 行われたブロック回数を表します。

その他 – 「IP アドレス別 URL サイトブロックの概要」の表に記述されなかったフィルタリングブロック回数の合

計を表します。全てのフィルタリングブロックの回数が表記されている場合、本見出しは表示されません。

合計 - 「IPアドレス別URLサイトブロックの概要」の表にて、表の列に記述してあるその他を含めた、フィルタ

リングブロック数の合計を表します。

小計 - 「IPアドレス別URLサイトブロックの概要」の表にて、表の列に記述してあるその他を含めない、フィル

タリングブロック数の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されま

せん。

最もアクセスがブロックされた IPアドレスがアクセスしたURLサイトのドメイン名が分かります。


- 77 -

１０ログイン認証統計

１０.１ログイン失敗統計レポート

このページは、Palo Altoのログイン失敗の統計情報を示します。縦軸はログインに失敗した際に、その旨を記したログを弊社監視センタに

て取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示しています。意図しないログインの失敗

が多発していないかご確認下さい。見覚えの無い IPアドレスからログイン失敗が継続的に発生している場合、対象の IPアドレスの調査を

推奨致します。

10.212.200.107

10.12.120.7

0

2

4

6

8

10

12

14

16

18

20

22

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図10.1.1 ログイン失敗の推移

1 2

0

6

12

18

24

30

36

12

数


種別

図10.1.2 ログイン失敗の概要

※上記グラフ中の■に続く種別は下記、「ログイン失敗の概要」の表の項番とリンクしています。


- 78 -

表10.1.1 ログイン失敗の概要

ログインイベント

ログイン元 IPアドレスイベント回数

1. 10.212.200.107 Login failed 40 86.95%

2. 10.12.120.7 Login failed 6 13.04%

合計 46 100.00%

ログイン失敗統計レポートの概要- ヘルプカード

ログイン元 IPアドレス – Palo Altoにログインを試みたコンピュータの IPアドレスを表します。

ユーザ名/ログイン方法 - ログインを試みたユーザ名とログイン方法を表します。

Palo Alto の制限によりConsole およびTelnet でのログイン失敗時のログが出力されないため統計情報に

は含まれません。

回数 - Palo Altoにてログインを失敗した際に、その旨を記したログを弊社監視センタにて取得した回数を表し

ます。

その他 – 「ログイン失敗の概要」の表に記述されなかったログメッセージのイベント数の合計を表します。全て

のログメッセージが表記されている場合は、本見出しは表示されません。

小計 – 「ログイン失敗の概要」の表にて、表の列に記述してあるその他を含めない、ログイン失敗のイベント数

の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されません。

合計 – 「ログイン失敗の概要」の表にて、表の列に記述してあるその他を含めた、ログイン失敗のイベント数の

合計を表します。

ログインを試みて、ログイン失敗が発生する頻度を統計的に知ることができます。


- 79 -

１０.２ログイン成功統計レポート

このページは、Palo Altoのログイン成功の統計情報を示します。縦軸はログインに成功した際に、その旨を記したログを弊社監視センタに

て取得した回数になります。また、横軸はログを送信した際、Palo Altoに設定されていた日付を示しています。意図しないログインの成功

が無いかご確認下さい。見覚えの無い IPアドレスからログイン成功が発生している場合、対象の IPアドレスの調査を推奨致します。

10.212.200.107

0.0.0.0

0

1

2

3

4

5

12/0212/04

12/0612/08

12/1012/12

12/1412/16

12/1812/20

12/2212/24

12/2612/28

12/30

数


日

図10.2.1 ログイン成功の推移

1 2

0

1

2

3

4

5

6

12

数


種別

図10.2.2 ログイン成功の概要

※上記グラフ中の■に続く種別は下記、「ログイン成功の概要」の表の項番とリンクしています。


- 80 -

表10.2.1 ログイン成功の概要

ログインイベント

ログイン元 IPアドレスイベント回数

1. 10.212.200.107 Login Success 6 75.00%

2. 0.0.0.0 Login Success 2 25.00%

合計 8 100.00%

ログイン成功統計レポートの概要- ヘルプカード

ログイン元 IPアドレス – Palo Altoにログインしたコンピュータの IPアドレスを表します。

ログインの方法に「telnet」もしくは「console」を使用した場合、ログイン元 IPアドレスは「0.0.0.0」と表示されま

す。また、ログイン方法は「via CLI」と表示されます。

ユーザ名/ログイン方法 - ログインしたユーザ名とログイン方法を表します。

ログインの方法に「telnet」もしくは「console」を使用した場合、ログイン方法は「via CLI」と表示されます。

回数 - Palo Altoへのログインが成功した際に、その旨を記したログを弊社監視センタにて取得した回数を表し

ます。

その他 – 「ログイン成功の概要」の表に記述されなかったログメッセージのイベント数の合計を表します。全て

のログメッセージが表記されている場合は、本見出しは表示されません。

小計 – 「ログイン成功の概要」の表にて、表の列に記述してあるその他を含めない、ログイン成功のイベント数

の合計を表します。全てのログメッセージが表記されている場合は、本見出しは表示されません。

合計 – 「ログイン成功の概要」の表にて、表の列に記述してあるその他を含めた、ログイン成功のイベント数の

合計を表します。

ログインを試みて、ログイン成功が発生する頻度を統計的に知ることができます。


- 81 -

１１セキュリティ動向 (1) 「インターネット定点観測情報」

弊社によるインターネットの定点観測を使用したセキュリティ動向の分析情報を示します。インターネット接続環境におけるセキュリテ

ィ動向の参考例とし、セキュリティ情勢の 1つの目安としてご使用頂ければ幸いです。

① 「アクセス件数の推移」

図6.1に、2009年7月以降の 1観測点※1一日あたりの平均アクセス件数の推移を示します。

0

50

100

150

200

250

300

350

7月 8月 9月 10月 11月 12月

観測年月

1観測点の一日あたりの平均件数

（件）

図6.1 1観測点の一日あたりの平均アクセス件数推移（2009年7月～2009年12月）

2009年12月における平均アクセス件数は、約290件で先月比約1%減となりました。中国を送信元国とする tcp:1433に関する通信

が、12月28日以降急増しているのが観測されています。このポートはMicrosoft SQL Serverで使用されます。

tcp:9415に関する通信が先月から継続しており、370%増となりました。

③ 「送信元 IPアドレス国別傾向分析」

2009年 12月に観測されたアクセスの送信元となった IPアドレスの所有国別※2アクセス過去 6 ヶ月間の推移を図 6.2に示します（2009

年12月における上位10送信元国の降順）。

0

20

40

60

80

100

120

140

160

中国アメリカ日本韓国台湾ロシアブラジルイタリアインドドイツその他（不明）

送信元IPアドレス所有国


(件)

7月 8月 9月 10月 11月 12月

図6.2 送信元 IPアドレス所有国別アクセスの月毎推移


- 82 -

2009年12月観測アクセスの送信元 IPアドレス所有国の割合を図6.3に示します。

34.9%

15.1%12.6%

5.2%

4.7%

2.0%

1.5%1.5%

1.2%

1.2%

19.9%

中国

アメリカ

日本

韓国

台湾

ロシア

ブラジル

イタリア

インド

ドイツ

その他

図6.3 2009年12月の送信元国別分布

アメリカを送信元国とする通信は先月比 16%減となりました。日本を送信元国とする通信は先月比約 11%増、その他の送信元の合

計は先月比12%増となりました。

③ 「通信プロトコルの傾向分析」

図 6.4に、使用されたポート/通信プロトコル別の、1観測点の一日あたりの平均アクセス件数の、過去 6 ヶ月間の推移を示します（図中

の順位は、2009年12月における上位10ポート/通信プロトコルの降順となります）。

0

25

50

75

100

icmp

tcp:135

tcp:445

tcp:1433

tcp:2967

tcp:22(s

sh)

tcp:139

udp:1434 http

tcp:9415

その他

ポート/通信プロトコル


(件)

7月 8月 9月 10月 11月 12月

図6.4 使用ポート/通信プロトコル別、一日あたりの平均アクセス件数推移（2009年7月～2009年12月）

Symantec AntiVirus 等のセキュリティ製品で使用される tcp:2967 に関して、中国を送信元国とする通信が 230%増加しました。

NETBIOS(SSN)等で使用される tcp:139 については、イタリアを送信元国とする通信の急増で 95%増となりました。先月観測された中

国とアメリカを送信元国とする標的不明の tcp:9415に関する通信は、370%増となりました。

また、12月5日のハンガリー, メキシコ, アメリカからの tcpおよびudpポート40387宛や、12月11日のスウェーデンおよびアメリ

カからの tcpおよび udpポート 46750宛等、半日程度の期間に集中した通信が観測されています。


- 83 -

2009年12月に観測したポート/プロトコルの割合を図6.5に示します。

20.2%

9.9%

9.6%

9.2%9.0%7.8%

5.3%3.3%

3.2%

2.2%

20.2% icmp

tcp:135

tcp:445

tcp:1433

tcp:2967

tcp:22(ssh)

tcp:139

udp:1434

http

tcp:9415

その他

図6.5 2009年12月観測アクセスに使用されたポート/プロトコル割合

2009年12月に観測したポート/プロトコルの上位5位のアクセス傾向の詳細を、送信元となった IPアドレスの所有国の割合と共にそれ

ぞれ日毎推移にて示します（図6.6～6.10）。

a) プロトコル:icmp

0

10

20

30

40

50

60

70

80

90

100

12月01日

12月03日

12月05日

12月07日

12月09日

12月11日

12月13日

12月15日

12月17日

12月19日

12月21日

12月23日

12月25日

12月27日

12月29日

12月31日

観測月日

1観測点あたりのアクセス件数

(件)

アメリカ中国韓国日本カナダフランスその他

図6.6 プロトコル:icmp 2009年12月の日毎推移

ICMPはネットワークの疎通確認や、死活監視等に使用されます。ICMP通信を許可している場合は、ICMP Flood攻撃等の被害を

受ける可能性があります。中国を送信元国とする通信が月後半に減少し、40%減となっています。


- 84 -

b) ポート番号 tcp:135

0

10

20

30

40

50

60

12月01日

12月03日

12月05日

12月07日

12月09日

12月11日

12月13日

12月15日

12月17日

12月19日

12月21日

12月23日

12月25日

12月27日

12月29日

12月31日

観測月日


(件)

日本中国アメリカ台湾韓国インドその他

図6.7 ポート番号 tcp:135 2009年12月の日毎推移

tcp:135はWindowsのRPC(Remote Procedure Call)サービス等で使用されます。アクセス数で常に上位に位置するポートです。

前回1位だったアメリカが 86%減となり、tcp:135全体の通信量も先月比約45%減となっています。

このポートに関し、複数の脆弱性(MS03-026※3,MS03-039※4等)が報告されており、これらの脆弱性を狙った攻撃に起因して観測ア

クセス件数が高水準で推移していると考えられます。MS03-026の脆弱性を利用して感染活動を行うBlasterワームが知られており、

また、MS03-039も攻撃コードが存在します。tcp:135はボットの主要な感染経路の一つとして知られています。

c) ポート番号 tcp:445

0

10

20

30

40

50

60

70

12月01日

12月03日

12月05日

12月07日

12月09日

12月11日

12月13日

12月15日

12月17日

12月19日

12月21日

12月23日

12月25日

12月27日

12月29日

12月31日

観測月日


(件) 日本アメリカ台湾韓国ロシア中国その他


tcp:445は SMB/CIFSプロトコルによるファイル共有等で使用されるポートです。

2008年10月の更新プログラム(MS08-067※5)に対するウイルスが報告されており、tcp:139および tcp:445を介して感染活動が行

われます。この脆弱性が悪用され、攻撃が成功した場合任意のコードを実行される恐れがあります。


- 85 -

d) ポート番号 tcp:1433

0

20

40

60

80

100

120

12月01日

12月03日

12月05日

12月07日

12月09日

12月11日

12月13日

12月15日

12月17日

12月19日

12月21日

12月23日

12月25日

12月27日

12月29日

12月31日

観測月日


(件) 中国ベトナム韓国アメリカ台湾ブラジルその他


tcp:1433 はMicrosoft SQL Serverで使用されるポートです。SQL Serverに存在する脆弱性を狙った攻撃のみならず、SQLインジェ

クション攻撃の可能性もあります。12月28日20時以降、中国を送信元国とする通信が急増しています。

e) ポート番号 tcp:2967

0

10

20

30

40

50

60

70

12月01日

12月03日

12月05日

12月07日

12月09日

12月11日

12月13日

12月15日

12月17日

12月19日

12月21日

12月23日

12月25日

12月27日

12月29日

12月31日

観測月日


(件) 中国日本ベトナム台湾パキスタンフランス


tcp:2967は Symantec社の Symantec Client Security および Symantec AntiVirus Corporate Edition等で使用されるポートです。

以前にこのポートに関連する脆弱性※6が報告されており、この脆弱性を狙った攻撃である可能性があります。

中国を送信元国とする通信が、先月比230%増となっています。


- 86 -

※1 1観測点の一日あたりの平均アクセス件数：観測点毎のポリシーを考慮し、1観測点あたりの値に換算した数値 ※2 所有国の判別：各地域インターネットレジストリ（RIR）の IP所有国情報、2009年12月30日の登録データを使用 ※3 Microsoft TechNet 「RPC インターフェイスのバッファオーバーランによりコードが実行される」(823980) (MS03-026) http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.mspx ※4 Microsoft TechNet 「RPCSS サービスのバッファオーバーランによりコードが実行される」 (824146) (MS03-039) http://www.microsoft.com/japan/technet/security/bulletin/MS03-039.mspx ※5 Microsoft TechNet 「Server サービスの脆弱性により、リモートでコードが実行される」 (958644) (MS08-067) http://www.microsoft.com/japan/technet/security/bulletin/MS08-067.mspx ※6 SYM06-010 「Symantec Client Security および Symantec AntiVirusに特権昇格の脆弱性(2006年5月25日)」 http://www.symantec.com/region/jp/avcenter/security/content/2006.05.25.html

http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.mspx



http://www.symantec.com/region/jp/avcenter/security/content/2006.05.25.html


- 87 -

(2) 「脆弱性ならびにセキュリティ情報」

JPCERT/CC※1・JVN※2等で提供される脆弱性ならびにセキュリティ情報を表6.1に示します。管理下のシステムにおける脆弱性対策にお

役立て下さい。製品区分別に、情報システムの脆弱性に対するオープンで汎用的な評価手法であるCVSS※3の基本評価基準も併せて示し

ます。

表6.1 脆弱性ならびにセキュリティ情報

No. 製品区分 CVSS 対

策情報題目管理番号公開日

1

OS

10.0 ○ Microsoft 製品における複数の脆弱性に対するアップデート JVNTA09-342A 12月9日

2 9.3 × Indeo コーデックに複数の脆弱性 JVNVU#228561 12月15日

3 9.3 ○ Java for Mac OS X に複数の脆弱性 2009-12-09【1】 12月3日

4 Webブラウザ

および

プラグイン製品

10.0 ○ Opera ブラウザに複数の脆弱性 2009-12-02【2】 11月24日

5 9.3 ○ Adobe Flash に複数の脆弱性 JVNTA09-343A 12月10日

6 9.3 ○ Adobe Reader および Acrobat における解放済みメモリを使用する脆弱性 JVNVU#508357 12月16日

7 7.8 ○ Mozilla 製品群に複数の脆弱性 2009-12-24【2】 12月17日

8

ソフトウェア

9.3 ○ BlackBerry Enterprise Server および BlackBerry Professional Software にバッフ

ァオーバーフローの脆弱性 2009-12-09【2】 12月15日

9 6.4 ○ NTP におけるサービス運用妨害 (DoS) の脆弱性 JVNVU#568372 12月9日

10 5.0 ○ EC-CUBE における情報漏えいの脆弱性 JVN#79762947 12月7日

11 5.0 ○ HP OpenView Network Node Manager (OV NNM) に複数の脆弱性 2009-12-16【4】 11月19日

12 5.0 ○ P forum におけるディレクトリトラバーサルの脆弱性 JVN#00152874 12月15日

13 4.3 ○ Active! mail 2003 におけるクロスサイトスクリプティングの脆弱性 JVN#49083120 12月8日

14 4.3 ○ VMware 製品群のヘルプ機能にクロスサイトスクリプティングの脆弱性 2009-12-24【3】 12月15日

15 4.0 ○ Active! mail 2003 における Cookie 漏えいの脆弱性 JVN#36207497 12月8日

16 4.0 ○ Active! mail 2003 におけるセッション ID 漏えいの脆弱性 JVN#85821104 12月8日

17 4.0 ○ BIND 9 の DNSSEC 検証処理における脆弱性 JVNVU#418861 12月2日

18 2.6 ○ SEIL/B1 の認証処理における脆弱性 JVN#49602378 12月9日

19

その他

6.8 × 複数の SSL VPN (Web VPN) 製品にてウェブブラウザのセキュリティが迂回さ

れる問題 JVNVU#261869 12月1日

20 - - アンチウイルス製品のサポート期間にご注意 2009-12-24

【メモ】 -

21 - - Firefox 3.0.x のサポート終了 2009-12-09

【メモ】 -

22 - - 担当者が選ぶ 2009年の重大ニュース 2009-12-16

【メモ】 -

情報は、先月公開されたJPCERT/CCレポート※4、JVN等を基にしておりますが、公開日は、JPCERT/CC、JVNが参照している原典等を

参照し、最初に世界レベルで一般公開された日、もしくは、定期的なOSのアップデートの場合は対策が公開された日付を記載しております。

赤く色付けされている情報は、JVNにて緊急※5と表示されている情報となります。

CVSSは、JVNに公開されている値を優先して記載しております。JVNに公開されていないものについては、NVD※6の値を記載しており

ます。また、複数のCVSSがあるものについては、一番高いものを記載しております。いずれにもCVSSが記載されていない場合は、「－」

としております。

対策欄に「×」が記載されている情報は、本資料作成日の 2010年1月14日現在、対策が存在しない(危険度がより高い)ことを示しており

ます。

管理番号は、Jから始まる形式のものは JVNが発番した番号、YYYY-MM-DD【X】の形式のものは、JPCERT/CCレポートの発行年月日

とレポート内の項番からなります。また、製品区分は、表6.2の定義に基づき、弊社独自の判断で区分しております。

http://jvn.jp/cert/JVNTA09-342A/index.html

http://jvn.jp/cert/JVNVU228561/index.html

http://www.jpcert.or.jp/wr/2009/wr094701.html#1


http://jvn.jp/cert/JVNTA09-343A/index.html






http://jvn.jp/jp/JVN79762947/index.html











http://www.jpcert.or.jp/wr/2009/wr094901.html#Memo




- 88 -

表6.2 製品区分

製品区分定義

OS OSおよびOSと合わせて提供される製品

Webブラウザおよび

プラグイン製品

Microsoft Internet Explorerを除く、WebブラウザおよびWebブラウザのプラグイン

として動作する製品

アプリケーション付加価値を提供すべく開発されているソフトウェア

ハードウェアハードウェアに組み込まれて提供される製品

その他プロトコルや設計仕様等、上記に当てはまらないしないもの、またはアナウンス

※1 JPCERT/CC 「Japan Computer Emergency Response Team / Coordination Center 」

我が国を代表するインシデント対応組織 (CSIRT: Computer Security Incident Response Team)とし

て、国内外から届くインシデント報告の対応を中心とした情報セキュリティ対策活動のコーディネー

ションを行っている。

http://www.jpcert.or.jp/

※2 JVN 「Japan Vulnerability Notes」

日本で使用されているソフトウェア等の脆弱性関連情報とその対策情報を提供し、情報セキュリティ

対策に資することを目的とする脆弱性対策情報ポータルサイト

http://jvn.jp/report/index.html

※3 共通脆弱性評価システム CVSS（Common Vulnerability Scoring System）

情報システムの脆弱性に対するオープンで汎用的な評価手法。

0から 10までの数値で表され、数値が高いほど脆弱であることを示す。

FIRST（Forum of Incident Response and Security Team） http://www.first.org/ にて取りまとめてい

る。日本語での説明は下記を参照。

http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

※4 JPCERT/CC レポート

JPCERT/CC が得たセキュリティ関連情報のうち、JPCERT/CC が重要と判断したものを抜粋して

まとめたもの。

http://www.jpcert.or.jp/wr/

※5 JVN 緊急の定義

脆弱性レポートの読み方

http://jvn.jp/nav/jvnhelp.html

※6 NVD 「National Vulnerability Database」

米国国立標準技術研究所が運営する脆弱性データベース。

http://nvd.nist.gov/nvd.cfm

http://www.jpcert.or.jp/

http://jvn.jp/report/index.html

http://www.first.org/

http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html

http://www.jpcert.or.jp/wr

http://jvn.jp/nav/jvnhelp.html

http://nvd.nist.gov/nvd.cfm


- 89 -

１２お問い合わせ先

本レポートに関する不明点は、下記連絡先までお問い合わせ下さい。

また、お問い合わせの際には本レポートの管理番号(表紙記載)を必ずお知らせください。

＜連絡先＞

株式会社日立ソリューションズ

セキュリティプロダクト第３部

TEL：03-6718-2858

E-Mail： [email protected]

palo alto マネージメントサービス

Documents