JPCERT/CC、「インターネット定点観測レポート(2018年7~9月)」を公開

JPCERT/CCは10月18日、「インターネット定点観測レポート(2018年7~9月)」を公開した。その概要は以下のとおり。

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めている。このレポートでは、国内に設置されたセンサーで本四半期に観測されたパケットを中心に分析した結果について述べている。

7〜9月の四半期に国内で観測されたパケットの宛先ポート番号をパケットが多かった順に並べるとトップ5は以下のとおりだった。

順位 宛先ポート番号   前四半期の順位
1  23/TCP(telnet)    1
2  445/TCP(microsoft-ds) 2
3  80/TCP(http)     3
4  8080/TCP        6
5  22/TCP(ssh)      4

同様に、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5は以下のとおり。

順位 送信元地域 前四半期の順位
1  中国     2
2  ロシア    3
3  米国     1
4  オランダ   5
5  ウクライナ  TOP10外

送信元地域に着目すると、ウクライナからのパケットが8月20日頃から増加傾向にある。送信元となっている機器は同じ番号のポートが開いていた。当該地域で広く使用されている機器がマルウエアに感染して、これらのパケットを送信していると考えられる。

■注目された現象
・Port445/TCP宛のパケット数の増加
2018年8月12日頃より、Port445/TCP宛のパケットが増加している。パケットの送信元IPアドレスには国内のものも国外のものもあり、いずれもパケット数が以前と比べて増えている。この現象は日本だけでなくほかの地域でも観測されている。

Port445/TCP宛のパケットは、2017年5月以降WannaCry等の探索活動に伴うものが観測されたが、8月12日以降はそれとは特徴が異なるパケットが含まれるようになった。この特徴を持つパケットの送信元となっている国内外のIPアドレスについて調査を行なったところ、8割以上でWindows2003が稼働しているホストだったが、それ以外にもWindows2008R2等のバージョンが確認された。Windows2003だけに関連した問題ではないと考えられる。

日本国内から発信されたパケットのうち、発信元が企業等とみられたものについて、当該IPアドレスの管理者すべてに連絡。一部の管理者からは、アンチウイルスソフトでマルウエアが発見されたという回答を受けたが、検知結果の詳細やマルウエアの検体は得られていない。

今回確認された多くの場合ではWindows2003がOSとして使用されていた。インターネットに公開するサーバーには、メーカーによる脆弱性への対応が行なわれているOSを使用するようJPCERT/CCでは呼びかけている。
 

関連リンク

インターネット定点観測レポート