JPCERT コーディネーションセンター

インターネット定点観測レポート(2012年 10~12月)

1 概況

JPCERT/CCでは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類しています。脆弱性情報、マルウエアや攻撃ツールの情報などを参考に分析することで、攻撃活動や準備活動の捕捉に努めています。

図1は期間中もっとも多く観測された5位までの宛先ポート番号(以下トップ5と記す)をもった観測パケット数の変化を示したものです。今四半期は、22/TCPの宛先ポート番号をもつパケット数が増加し、23/TCPに替わり5番目になりました。これについては「2. 注目された現象」で取り上げます。

WindowsやWindows Server上で動作するプログラムが使用する445/TCPや1433/TCP、Windowsのリモート管理やアクセスに使用するリモートデスクトップ3389/TCP宛へのパケットが多く観測されています。
また、Windowsを対象としたパケットが多く占めるトップ5に対し、続くトップ10には22/TCPや、23/TCP宛など主にLinuxを対象としたパケットが並んでいました。
図2は期間中のパケット送信元地域トップ5の変化を示したものです。トップ5ではロシアの順位が下がり、ランク外となっています。これは445/TCPを宛先としたパケットが減少したためです。代わりに、23/TCP宛のパケットが増加したため、タイがトップ5にランクインしています。タイからはWindowsを対象としたパケットが多く観測されています。

tbm20121012graph1.png
[図1 2012年10~12月の宛先ポート番号別パケット観測数トップ5]
クリックすると拡大されます

tbm20121012graph2.png
[図2 2012年10~12月の送信元地域別トップ5]
クリックすると拡大されます

2 注目された現象

2.1  22/TCP 宛のパケットの増減

22/TCP宛のパケットは、図1のグラフのように今期宛先ポート番号別で5番目に多くパケットを観測しました。図3は22/TCP宛パケットの送信元地域トップ5の変化を示したものです。米国や中国、インドなどの地域から観測しています。送信元地域のトップ5には含まれていませんが、国内の複数のIPアドレスを送信元としたパケットも観測されました。

tbm20121012graph3.png
[図3 2012年10~12月の22/TCP宛のパケット観測数]
クリックすると拡大されます

 22/TCP宛のパケットは、主に同ポート番号で待ち受けていることが多い、SSHサーバを探索するためのスキャンと思われます。弊センターでは、22/TCP宛のパケットを送信していたIPアドレスの管理者に対し連絡を行いました。その結果、複数のIPアドレスの管理者から頂いた情報によると、問題のパケットの発信元サーバは、第三者に遠隔からログインされた形跡があり、新たな22/TCP 宛のパケットを送信しSSHサーバの発見、およびIDとパスワードのアカウントを調査するためのツールが動作していました。攻撃者は、事前に作成した辞書ファイルを情報を使用し、該当するIDとパスワードを使用しているSSHサーバを探索し、ログイン可能なサーバを新たな攻撃活動に使用しているものと思われます。

Topへ

Topへ
最新情報(RSSメーリングリストTwitter