サイバーセキュリティクラウド、「サイバー攻撃検知レポート2021」を発表

【ニュースリリース】
2022年2月2日
報道関係者各位



サイバーセキュリティクラウド、「サイバー攻撃検知レポート2021」を発表



株式会社サイバーセキュリティクラウドは、2021年（2021年1月1日〜12月31日）を対象とした、Webアプリケ
ーションを狙った攻撃の検知レポートを発表いたします。なお、本データは当社が提供する、Webサイトへの
サイバー攻撃を可視化・遮断するクラウド型WAFの『攻撃遮断くん』と、AWS WAF、Azure WAF、Google Cloud
Armorの自動運用サービス『WafCharm（ワフチャーム）』とで観測した攻撃ログを集約し、分析・算出していま
す。

■調査概要
・調査対象期間：2021年1月1日〜12月31日
・調査対象：『攻撃遮断くん』『WafCharm』をご利用中のユーザアカウント
・調査方法：『攻撃遮断くん』『WafCharm』で観測した攻撃ログの分析

■2021年のサイバー攻撃検知状況
〜「1秒間あたりおよそ13回少々」のペースで攻撃を検知〜

2021年の1年間（1月1日〜12月31日）でのサイバー攻撃の検知総数は、合計415,463,802件でした。これは2
020年の攻撃検知総数（334,932,032件）に比べても相当に増加しており、これを平均すると「1秒間あたりおよ
そ13回少々」のペースで攻撃を検知していたことになります。これは2020年平均より1秒当たり3回弱ほどの
増加となっています。

さらにsid（Security Identifier：ネットワークのユーザーアカウントやグループなどを一意に識別するセキュリテ
ィ識別子）は、年間676,198を数えました。2020年と比較して、2021年は攻撃検知総数もsid総数も増加してい
ます。結果として1sidあたりの攻撃検知回数だけを見れば、およそ18,688回／月と減少しているようにも見え
ますが、現実は2020年よりも多くの攻撃者による通信が検知されたことになります。
一般的に、オリンピック・パラリンピックが開催される年のホスト国は、開催前後で顕著にサイバー攻撃が増
える傾向にあります。ただし今回の同大会に関しては、幸いにして関係者や警察、NISC等からも、本件につ
いて大規模な攻撃による目立った被害は観測・報告されてはいません。
しかしながらWebアプリケーションをターゲットとした攻撃の数そのものが増加傾向にあったことは確かだと
言えます。その年間の推移を四半期に分けて振り返ると、2021年1～6月の上半期については、1sidあたり66
1～2件の攻撃回数であるのに比べて、7～9月の第三四半期がおよそ543～4件へと減少、当該期間の攻撃
検知総数も同様に減少しています。しかし10〜12月の第4四半期では1sidあたりおよそ603〜4件、攻撃検知
総数も2021年四半期別では最も多い113,397,217件の攻撃が検知されました。これは後述するMovable Typ
e、そしてApache Log4jについての深刻な脆弱性が2021年の第4四半期に公表され、今もまだその渦中にあ
ることも全くの無関係ではないと推測されます。




また、当社が検知したWebアプリケーションへの攻撃通信について、攻撃元の国別に2021年の検知回数を見
てみると、トップは日本国内からのもので、以下同率でアメリカ、ドイツ、カナダ、中国と続いています。
■主な攻撃種別
〜昨年から総数は増加も傾向は変わらず〜


今回の調査期間における主な攻撃種別の攻撃状況を見ると、前述の通り全体の総数は増加しているもの
の、主だった傾向は2020年のそれと、さほど大きくは変わっていない状況です。最も多かったのは、脆弱性ス
キャンツールなどを利用したBotによる攻撃である「Blacklisted user agent」で、全体のおよそ37.6%を占め、次
にWebサーバを構成するソフトウェアの脆弱性に対する攻撃である「Web attack」が約27.5%と続いています。
そして3番目に多かったのは、攻撃の対象を探索・調査、また無作為に行われる単純な攻撃で脆弱性を探す
などの「攻撃の予兆」である「Web scan」ですが、全体の約11.1％ → 14.8%、件数が37,192,991件 → 61,438,07
1件と、2020年より少なからず増加していました。また、7番目に多かった、WEBサーバ上のファイルに不正ア
クセスする「Traversal attack」については、2020年の9番手から件数が2,851,256件 → 6,509,911件に増加、そ
して今回9番手のDoS攻撃も、2020年（10番手）比で件数が993,900件 → 3,622,036件と、他と比較して件数の
増加が目立ちました。

2021年の攻撃種別




2020年の攻撃種別
2020年の攻撃種別ごとの攻撃件数について、新型コロナウィルスの感染拡大とともに「Web attack」の脅威が
高まったことが判明した、とお伝えしましたが、その傾向は変わらず2021年度も継続しています。また、検知し
た攻撃の総数の増加だけでなく、攻撃予兆である「Web scan」について検知総数が大幅に増加していること
から、攻撃者数、特に新たに参入してきたサイバー攻撃者の増加も推測できます。

■主な脆弱性に関する攻撃状況
〜この数年で最も深刻な脆弱性も発覚〜

－Movable Typeの脆弱性を狙う攻撃
2021年10月20日に公開されたMovable TypeのXMLRPC APIに存在するリモートから悪用可能な脆弱性（C
VE-2021-20837）について、本脆弱性の悪用を目的とした特殊なリクエストを受け取った場合、OSコマンドが
実行され、様々な被害を受ける可能性があります。本脆弱性の影響を受ける可能性のあるバージョンは、以
下の通りです。
・Movable Type 7 r.5003 より前のバージョン
・Movable Type Advanced 7 r.5003 より前のバージョン
・Movable Type 6.8.3 より前のバージョン
・Movable Type Advanced 6.8.3 より前のバージョン
・Movable Type Premium 1.47 より前のバージョン
・Movable Type Premium Advanced 1.47 より前のバージョン
開発者によると、サポートを終了したバージョンを含むMovable Type 4.0以上（Advanced、Premiumも含む）
が影響を受けます。
本脆弱性につきましては、実際に当社では2021年11月10日より、同攻撃と想定される通信を検知しており
ます。また、同年11月後半から年末年始にかけて、多数のsidからの攻撃と想定される通信を検知していま
す。もし脆弱なままのMovable Typeを外部からアクセス可能な状態で稼働し続けていると、今後様々な被害
を受ける可能性がございますので、最新のバージョンにアップデートし脆弱性への対策を行うとともに、すで
に攻撃の影響を受けている可能性について調査をするなどの対応を推奨し、改めて注意を喚起します。
－Apache Log4j2のRCE脆弱性を狙う攻撃
2021年12月9日に、代表的なJavaのログ出力ライブラリである「Apache Log4j」に、リモートから悪用可能な
脆弱性（CVE-2021-44228）の存在が公表されました。システムでは「ログ＝履歴・記録」を記録する事は極め
て重要なため、log4jはJavaを利用しているシステムで広く世の中で利用されています。今回公表された脆弱
性の脅威度を表す指標（CVSS 3.0）の値は最高値「10.0」で、これほど容易に、かつ広範囲に影響するリスク
は、数年に一度見るかどうかの極めて危険な脆弱性と言えます。当社においても、12月13日より現在に至る
まで、攻撃と推定される通信を継続的に検知しています。




この脆弱性は、Apache Log4jのJava Naming and Directory Interface（JNDI）機能に関する任意のコード実
行の脆弱性で、遠隔の第三者が「細工した文字列」を送信し、Log4jがそれをログとして記録することで、任意
のコードを実行する可能性がある、というものでした。任意のコードが実行できる、ということはつまり「何でも
できる」という意味にとても近い、という話であって、この数年で最も深刻な脆弱性の一つと言えるでしょう。
またその後、本件においては、2022年1月24日現在で、CVE-2021-45046（アップデート（2.15.0）修正内容が
不十分なため、特定条件下で任意のコード実行が可能な脆弱性）、CVE-2021-45105（自己参照による制御
不能な再帰から保護されていないことに起因する、Log4jの特定設定のみ影響を受けるサービス運用妨害攻
撃の脆弱性）、CVE-2021-44832（JNDI機能で特定のデータソースを使用する場合に起因するリモートからの
任意のコード実行の脆弱性）といった複数の脆弱性情報が追加されており、全ての脆弱性に対処するには、
以下のバージョンへのアップデートが必要です。
【最新の修正バージョン】
・Apache Log4j 2.17.1（Java 8以降のユーザー向け）
・Apache Log4j 2.12.4（Java 7のユーザー向け）
・Apache Log4j 2.3.2（Java 6のユーザー向け）
こちらも同様に、脆弱性への対策とともに、すでに攻撃の影響を受けている可能性について調査をするなど
の対応を推奨し、改めて注意を喚起します。
■最後に
〜手段は多様化、攻撃の as a Service 化も〜


2022年は、未だ続くコロナ禍の継続も手伝って、一般にテレワークが深く浸透し、業務遂行には社内ネット
ワークと外部との常時接続が前提となっている状況ですが、これまでの動向や現在のオミクロン株の流行と
第六波の状況などを踏まえるまでもなく、今後も基本的には「テレワーク」というスタイルは常態化し、勤務ス
タイルとして恒久的に定着する事も予想されます。
また、標的型攻撃の脅威のみならず、ランサムウェアもますます深刻化する状況下で、最近は専門知識を
特に持っていなくても、ブラックマーケットを利用することで、攻撃者はより簡単に、より自動的に、ターゲットを
狙う攻撃を仕掛けやすくなっています（標的型攻撃のSaaS化、Ransomware as a Service＝RaaSの台頭
等々）。極端な話、小学生でも（多少英語さえ使えれば）利用できてしまうサービスが少なからず存在する時
代、攻撃者の「DX化」も進んでいます。


そんな状況も手伝ってか、企業のゼロトラスト（＝誰も信じない）への関心も高まっています。役職等に基づ
いた権限の常時付与ではなく「必要な時間だけ、必要な相手にだけ、必要最小限の権限を付与し、終わった
らすぐ付与した当該権限を抹消する」というのがゼロトラストの基本的な考え方ですが、使い勝手、運用面な
どを考えると、各組織によってはまだまだ完全には徹底できないケースもあるでしょうし、各製品の仕様、初
期設定などにもそれぞればらつきはあるため、しっかり設計～実装、運用しないと、単に導入しただけでは思
わぬ落とし穴にはまる可能性も否定できません。また、そのための知見、経験を持つセキュリティ人材が不足
している事も、頭を悩ませる点と言えるでしょう。
「ゼロトラスト」は現状まだ過渡期と言え、その現実的な普及には、もう少し時間が必要になると思料します。

当面の間は、攻撃者の多くはまず脆弱性を狙ってくることを踏まえ、まず定期的に「自分たちのどこに脆弱
性が潜んでいるか」を調査・確認することを前提に、セキュリティ対応を「分業」で考えること、一つ目に、シス
テムで自動化が可能な部分（そして、逆に人の手ではミスが拭い去れない作業）は「人に頼らないセキュリテ
ィシステム」を導入する。そして二つ目、それだけでは対応困難な部分は、システムを利用しつつ（ログ管理な
ど）人が担当するセキュリティ（そして地道な教育・啓もうによるリテラシーの向上を継続）で、ITの利便性とセ
キュリティ強度のバランスを保つ。この両者を併用することにより、業務の生産性を最小限に抑えつつ強固な
セキュリティ対策を実装することが、現時点ではより効果的かと思料します。

あくまで「一定のセキュリティ強度の担保」は大前提ですが、強固なセキュリティを担保し「社内・社外ともに
安心感を与えること」と、構成員の「働きやすさ、満足度」の実現、あまりどちらか一方に偏り過ぎず、ある程
度のバランスを保つことも、また重要ではないでしょうか。



■サイバーセキュリティクラウド 代表取締役CTO 渡辺洋司のコメント
2021年はランサムウェアの世界的な話題になり、攻撃者はデータ復旧の脅迫にとどまらず、3重、4重の脅
迫まで行うことが世に知らしめられました。3重、4重の脅迫とその攻撃の中には Web サイトへの DoS/DDoS
攻撃などを行うと脅迫するものもあり、ランサムウェアだけの防御では事業影響を抑えきれなくなってきてい
ます。

2021年秋以降には、本レポートでピックアップしている Movable Type や Log4J の脆弱性が大きな話題にな
り、2022年になっても収束しきっていない状況です。
セキュリティパッチ等が公開されると攻撃手法も明確になりツールにも取り込まれるため、話題の脆弱性に
対して多くの人が攻撃知識を手に入れられる時代になりました。防御に追われる企業は迅速な状況把握と対
策が求められるわけですが、簡単にアップデートが可能かというと、アップデートに関する副作用の影響調査
であったりエンジニアの確保であったりと攻撃者の時間軸に比較して遅い対応となってしまうのが実情かと思
います。


日々の脆弱性の把握と脆弱性が発見された場合の対策という継続的なシステムの健康診断の施策はもち
ろんのこと、システムの更改ができない場合においても一定の防御を行うという意味では 、防御ルールが迅
速に利用可能であり、脆弱性が公開された後でも継続的に認識された高度化された攻撃手法に対して防御
ルールが更新されていくクラウド型WAF の導入は非常に効果が高い対策といえます。

【株式会社サイバーセキュリティクラウドについて】
会社名：株式会社サイバーセキュリティクラウド
所在地：〒150-0011 東京都渋谷区東3-9-19 VORT恵比寿maxim3階
代表者：代表取締役社長 兼 CEO 小池敏弘
設立 ：2010年8月
URL ：https://www.cscloud.co.jp/



＜本件のお問い合わせ＞
株式会社サイバーセキュリティクラウド
経営企画部 広報 担当：竹谷
電話：03-6416-9996 FAX：03-6416-9997
E-mail：pr@cscloud.co.jp