JPCERT/CC、インターネット定点観測レポート(2017年4~6月)を発表
- 2017/08/07 11:00
- SecurityInsight
JPCERT/CCは8月3日、インターネット定点観測レポート(2017年4~6月)を発表した。その概要は以下のとおり。
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めている。
こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し、観測網に参加してもらう活動を行なっている。各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRT等に情報を提供し、状況の改善を依頼している。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処している。
今回のレポートでは、この四半期に国内に設置されたセンサーで観測されたパケットを中心に分析した結果について述べている。
宛先ポート番号別パケット観測数のトップ5を[表1]に示します。
■宛先ポート番号別パケット観測数のトップ5
1.23/TCP(telnet)
2.1433/TCP(ms-sql-s)
3.22/TCP(ssh)
4.445/TCP(microsoft-ds)
5.7547/TCP(cwmp)
■送信元地域のトップ5(カッコ内は前四半世紀の順位)
1.中国(1)
2.米国(2)
3.ベトナム(4)
4.韓国(5)
5.台湾(3)
この四半期は、WindowsのSQLServerとSMBサービスのリクエスト用Portに対するパケットが多数観測された。その他、前四半期もトップ5に入っていた、一部のベンダー製のWebカメラ、ルーター、NAS等の機器が待ち受けている22/TCPや23/TCP等のポートに対するパケットも継続して観測している。その他に関しては、特筆すべき状況の変化は見られなかった。
■注目された現象
1.Port22/TCP宛のパケット数の増加
国内のIPアドレスからSSHサーバーが使用するPort22/TCPに対するパケットが6月13日頃より増加し、その後も増減はあるが継続して観測されている。
これらのパケットの多くは、国内の一部の移動体通信事業者や仮想移動体通信事業者と思われるネットワークから送信されている。一部の送信元IPアドレスを調査してみると、組込みソフトウエアを搭載した専用機器が動作しているような挙動が観測できた。しかし、現時点では具体的な製品名や製造ベンダーは確認できていない。
2.国内からの445/TCP宛のパケット増加
5月の上旬から、445/TCPに対するパケット数が増加した。この時期に国内外で流行したランサムウエアWannaCryやその亜種は、マルウエアが動作し始めた際にほかのPCに感染拡大を試みる探索行為を行なう。今回パケット数が増加したのは、マルウエアWannaCryの流行の影響とみられる。
