情報通信研究機構、「NICTER観測レポート2019」を公開
- 2020/02/17 10:00
- SecurityInsight
情報通信研究機構(NICT)サイバーセキュリティ研究所は2月10日、「NICTER観測レポート2019」を公開した。その概要は以下のとおり。
NICTERプロジェクトの大規模サイバー攻撃観測網で2019年に観測されたサイバー攻撃関連通信は、2018年と比べて約1.5倍と昨年以上の増加傾向にある。内訳としては、海外組織からの調査目的とみられるスキャンの増加が著しく、総観測パケットの53%を占めた。
IoT機器を狙った通信の傾向は2018年とほぼ同じで、最も多いTelnet(23/TCP)を狙う攻撃が占める割合はわずかに増加。その他、Windowsのリモートデスクトップの脆弱性公表の影響などもあり、昨年より多くのWindows関連ポートが上位を占める傾向がみられた。
NICTERのダークネット観測網(約30万IPアドレス)において2019年に観測されたサイバー攻撃関連通信は、合計3,279億パケットに上り、1 IPアドレス当たり約120万パケットが1年間に届いた計算になる。
2019年の1 IPアドレス当たりの年間総観測パケット数は、2018年から約1,160億増加したが、この増分は、海外組織からの調査目的とみられるスキャンが昨年以上に増加したことに起因する。調査スキャンが総パケットに占める割合は、2017年の6.8%、2018年の35%から更に増加し、2019年は1,750億パケット(総パケットの53%)にも及ぶことが判明した。
上位10位までのポートが全体に占める割合は、2018年の46%から49%へとわずかに増加した。増加の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が294億パケットから364億パケットへと僅かに増加したことが挙げられる。
その他のポート(Other Ports)の占める割合は全体の半数と目立つが、IoT機器で使用されるポート(機器のWeb管理インターフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃。この傾向は、2018年とほぼ同じ傾向となっている。
また、Windows関連の観測傾向としては、ファイルやプリンターの共有で使われる445/TCPを狙った攻撃が昨年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが上位に入っている。
そのほか、2019年に特徴的な観測事象としては、SSL-VPN製品の脆弱性公表後に、これを悪用する攻撃が世界的に観測された。また、ボットに感染したホストが、これまでに観測されなかった新しいポートの組み合せで攻撃する事象も観測されている。DRDoS攻撃の観測では、複数のサービスを同時に悪用するマルチベクター型の攻撃が多く観測されたほか、単一のIPアドレスではなく、AS全体を狙う攻撃も観測されている。