BBソフトサービス、見えない攻撃を可視化する「ダークネット観測リポート」を発行
- 2020/08/28 10:00
- SecurityInsight
BBソフトサービス(BBSS)とクルウィットは8月25日、IoT機器やサイバー攻撃の実態を可視化するため、「ダークネット観測リポート」(2020年4月~6月分)を発行することを発表した。
クルウィットは、組織内外のダークネットを活用してIoT機器やPCを監視する「SiteVisor」を提供している。「SiteVisor」では、誰も利用していないIPアドレス(ダークネット)に観測機器を配置し、そのIPアドレス宛に「どのような攻撃を想定した通信があったか」を調査している。「ダークネット観測リポート」は、「SiteVisor」で観測したデータを基に、IoT機器などへのサイバー攻撃の傾向をまとめたものとなっている。その概要は以下のとおり。
●IoT機器への攻撃
スマートスピーカーなどのIoT機器を踏み台にして、企業のサーバーなどを攻撃する。たとえIoT機器がマルウエアに感染したとしても、利用者に実被害がでる可能性は低いが、犯罪者に利用され犯罪の片棒を担ぐことになる。今後はIoT機器の誤作動を行なうようなマルウエアが出てくる可能性も高く、セキュリティ対策を施す必要性がある。
●IoT機器への攻撃の種類
IoT機器はインターネットにつながっている機器という認識が薄く、ログインIDやパスワードを購入時のまま変更してなかったり、変更していても簡単なものに設定してしまっていたりすることも多い。犯罪者はそのような機器を狙っている。
●観測パケット数
クルウィットが定点観測しているダークネット観測において、5月の観測パケット数が多かった。その要因としては、送信元が詐称されたSYN-ACKパケット(バックスキャッタ)の増加によるもの。なぜこのようなパケットが多く観測されたのかは不明だが、主に企業のサービスサイトを攻撃するために利用されている手法の一つであるため、今後注意が必要。
●観測ホスト数
当該期間における観測ホスト数については、5月のホスト数および国内ホスト数が増加しているが、前項でも触れたように、これは送信元が詐称されたSYN-ACKパケットの増加によるもの。
●宛先ポート番号
当該期間における宛先ポート番号については、23/TCP(telnet)を狙ったパケットを多く観測した。また、22/TCP(ssh)、80/TCP(http)、52869/TCP(Unassigned)についても同様にパケットを観測しており、これらは、IoT機器(ルーター等)を狙ったパケット。傾向として機器の遠隔操作ができるところが狙われている。なお、445/TCP(microsoft-ds)は、従来から発生しているPCを狙ったパケット、1433/TCP(ms-sql-s)は、データベースサーバーを狙ったパケット。