トップページ
インシデントの報告
インターネット定点観測システム
最終更新: 2011-09-09JPCERT/CC では、インターネット上の攻撃動向を観測するため現在2つのシステムを稼働させています。それぞれのシステムについては、下のリンクよりご参照ください。
インターネット定点観測システム(ISDAS)について
JPCERT/CC では 2003年度より定点観測システム Internet Scan Data Acquisition System (ISDAS) を立ち上げ運用しています。 本システムではインターネット上にセンサーを分散配置し、ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっています。 本システムによる観測状況は Web を通じて定期的に公開している他、注意喚起発行などを通じてネットワーク管理者やシステム管理者に向けてセキュリティ予防情報を提供するために役立てられています。
ISDASのセンサーについて
ISDAS で設置しているセンサーは IX の近傍や xDSL のエッジ等様々なアドレスブロックに分散配置され、脅威を全方向から捉えるようになっています。インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録しています。ISDAS センサーは、主に国内ネットワークに設置しています。
JPCERT/CC が運用しているインターネット定点観測システム (ISDAS) の観測結果のグラフです。個別のPortのグラフは、クリックすると3ヶ月間と1年間のグラフが表示されます。
下のグラフが示す数値は、宛先ポート別にカウントしたスキャンログの総計をセンサー 1台あたりの平均にした数です。
- 3ヶ月グラフ(アクセス先ポート別グラフ)
[クリックすると拡大します]
- 1年間グラフ(アクセス先ポート別グラフ)
[クリックすると拡大します]
ICMP
ICMP(Internet Control Message Protocol:インターネット制御通知プロトコル)は、IP(Internet Protocol) 通信においてエラーメッセージの通知や制御メッセージの送信を行うプロトコルです。ICMPは、RFC792にて規定されています。ISDAS では、全てのタイプの ICMP メッセージを集計して ICMP として表示しています。
FTP (port20/TCP,port21/TCP)
FTP(File Transfer Protocol:ファイル転送プロトコル)は、TCP/IP ネットワークにて主にサーバ・クライアント間のファイルの転送に使用されるプロトコルです。通常、FTP では制御用 (21/tcp) とデータ用 (20/tcp) に二つの TCP コネクションが使用されます。 FTPはRFC 959 にて規定されています。
SSH (port22/TCP)
SSH(Secure Shell:セキュアシェル)は、安全性が確保されていないネットワーク上でのセキュアなリモートログインやその他のセキュアなネットワークサービスを提供するプロトコルです。クライアントとサーバ間の通信には、22/tcp が使用されます。SSH は、RFC4250 ~ 4256 にて規定されています。
TELNET (port23/TCP)
TELNET は、TCP/IP ネットワークにて主に端末間の 8 ビット双方向通信を提供するプロトコルです。通常端末間の通信には 23/tcp が使用されます。TELNET は、RFC854 にて規定されています。TELNET では通信の秘匿性が保証されないため、遠隔のシステムとの通信には SSH などを使用することが推奨されます。
SMTP (port25/TCP)
SMTP(Simple Mail Transfer Protocol:簡易メール転送プロトコル)は、電子メールを転送するプロトコルです。通常、クライアントとサーバ間の通信には 25/tcp が使用されます。SMTP は、RFC2821 にて規定されています。
DNS (port53/TCP,port53/UDP)
DNS(Domain Name System:ドメインネームシステム)は、ドメイン名とIPアドレスの対応付けを行う階層的な分散型データベースシステムです。通常、クライアントとサーバ間の通信には 53/tcp,53/udp が使用されます。DNSは、RFC1034,1035 にて規定されています。
HTTP (port80/TCP)
HTTP(Hypertext Transfer Protocol:ハイパーテキスト・トランスファー・プロトコル)は、クライアント(ブラウザ)とサーバの間で WEB コンテンツを送受信するために用いられる通信プロトコルです。通常、クライアントとサーバ間の通信には 80/tcp が使用されます。HTTP は、RFC 2616 にて規定されています。
POP3 (port110/TCP)
POP(Post Office Protocol:ポストオフィスプロトコル)は、メールサーバから電子メールを受信するためのプロトコルです。現在は、改良された POP3(POP version3) が主に使用されています。通常、クライアントとサーバ間の通信には 110/tcp が使用されます。POP3 は、RFC1939 にて規定されています。
NTP (port123/UDP)
NTP(Network Time Protocol:ネットワークタイムプロトコル)は、ネットワークに接続された機器の時刻を正しい時刻に同期させるためのプロトコルです。通常、クライアントとサーバ間の通信に 123/udp が使用されます。NTP は、RFC1305 にて規定されています。
IMAP4 (port143/TCP)
IMAP(Internet Message Access Protocol:インターネットメッセージアクセスプロトコル)は、メールサーバから電子メールを受信したり、メールサーバ上でメールを操作したりするプロトコルです。主に利用される IMAP4 rev1 では、クライアントとサーバ間の通信に 143/tcp が使用されます。IMAP4 rev1 は、RFC3501 にて規定されています。
HTTPS (port443/TCP)
HTTPS(Hypertext Transfer Protocol Security:ハイパーテキスト・トランスファー・プロトコル・セキュリティ)は、ブラウザ(クライアント)とサーバ間の通信を暗号化する際に使用される URI スキームです。通常、クライアントとサーバ間の通信に 443/tcp が使用されます。
MSSQL (port1433/TCP,port1434/UDP)
MSSQL(Microsoft SQL Server)は、Microsoft SQL Server の略称です。通常、クライアントとサーバの通信や問い合わせに、1433/tcp,1434/udp が使用されます。
RDP (port3389/TCP)
RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)は、Microsoft ターミナルサービスが稼働するシステムに遠隔のコンピュータから接続する際に使用されるプロトコルです。通常、クライアントとサーバ間の通信には 3389/tcp が使用されます。
説明資料
定点観測活動に基づく注意喚起一覧
アジア・太平洋地域インターネット定点観測可視化プロジェクト(TSUBAME)
定点観測可視化プロジェクト(TSUBAME)とは
インターネット定点観測システム TSUBAME は、主にアジア・太平洋地域の National CSIRT の協力のもと、観測用センサーを各地域に分散配置し、それぞれのセンサーの観測された結果をひとつの観測データとして共有することを目的に、2007年度よりスタートしました。ISDAS では、日本国内にのみ観測用のセンサーを設置していたため、主に海外から日本に行われる感染活動や弱点探索のためのスキャン動向は把握できましたが、日本から行われた感染活動や弱点探索のためのスキャンは把握できませんでした。TSUBAME では、お互いの観測データを共有し分析を行っているため、日本発の感染活動や弱点探索のためのスキャンが行われている状況や、日本が送受信対象となっていない、海外地域同士の動向についても状況が把握できるようになりました。プロジェクトに参加しているメンバーは、お互いに連携し、各地域のワームの感染活動や弱点探索のためのスキャンの動向を分析し、情報交換を行っています。また、TSUBAME ではワームの感染活動や弱点探索のためのスキャンの動向を効率的に把握するためには、どのように脅威を可視化するかといったこともテーマとして、共同で研究しています。JPCERT/CC では ISDASやTSUBAMEで得られたで得られた国内外の観測傾向や情報を元に、インシデント対応や注意喚起発行などを通じてネットワーク管理者への情報発信を行っています。
TSUBAMEのセンサーについて
TSUBAME で設置しているセンサーは、主にネットワークエッジに分散配置され、脅威を全方向から捉えるようになっています。インターネットから到達する全てのパケットを観測・記録しています。
加盟組織について
2011年9月1日現在、アジア・太平洋地域の National CSIRT(Computer Security Incident Response Team の略)を中心に、現在19地域21組織が加盟しています。
主な観測事例
- MS08-067の脆弱性とConfickerウイルスの影響と思われる観測事例
- SIPサーバへのScanと思われる観測事例について
2008年10月下旬にMicrosoft社から予定外に緊急のセキュリティ更新プログラム(MS08-067)がリリースされました。Windows の Server サービスにリモートでコードが実行される脆弱性が存在し、遠隔の第三者から攻撃が可能でした。その直後から Server サービスが使用する 445/Tcp 観測動向に変化があり、初期のスキャン活動がはじまりました。このグラフは、送信元地域ごとのスキャン数を積み上げたものです。2008年11月20日頃より、Win32/Conficker.Aの影響と思われるスキャンが観測されました。初期型のワームであったため、感染するOSの言語などに制限などがあったためかスキャン元地域が限定的でした。2008年12月30日頃より、Win32/Conficker.Bなどの亜種が登場し、他の言語でも動作したため、感染地域が拡大しその結果スキャン地域も広がったことがグラフから伺えます。
2010年7月上旬から、主にSIPサーバが待ち受けているポート番号(5060/UDP)へのスキャンが急増しました。このグラフは、センサーが設置されている地域別のスキャン数を積み上げたものですが、各地域で一斉にスキャンが発生していることがグラフから読み取れます。このスキャンは、 JPCERT/CCに寄せられたインシデント報告などの情報を元に調査したところ、なんらかの理由によりUNIX/Linuxサーバが侵入され、攻撃者が設置したツールによりスキャンが行われていたことがわかりました。
データ提供について
JPCERT/CCでは、ISDAS/TSUBAMEのセンサーで観測されたパケットを記録しデータを保存しています。主に大学などの研究向けにネットワークモニタリング観測データを開示しています。フォーマットについては、以下の情報となります。データの提供を希望される方は、office@jpcert.or.jpまでお問い合わせください。
ISDASデータについて
時刻,センサー識別子,送信元IPAddress,送信元ポート番号,送信先ポート番号,プロトコル
TSUBAMEデータについて
時刻,センサー識別子,送信元IPAddress,送信元ポート番号,送信先ポート番号,プロトコル,(TCPの場合は,TTL,Code Bit,Windowサイズ,Urgent Pointerなど UDPの場合は Length の情報も提供可能です)
- 2012-01-27
- メンテナンスのお知らせ
- 2012-01-26
- Java セキュアコーディングセミナー受付開始
- 2012-01-26
- ソフトウエア等の脆弱性関連情報に関する届出状況 [ 2011年第4四半期 (10月 ~12月) ]
- 2012-01-13
- 制御システムセキュリティカンファレンス2012受付開始
