JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > インターネット定点観測システム

最終更新: 2016-05-26

TSUBAME(インターネット定点観測システム)


JPCERT/CC が2003年より運用してまいりました、定点観測システム「ISDAS(Internet Scan Data Acquisition System) 」は、運用を終了いたしました。ご利用誠にありがとうございました。

ISDASは、新インターネット定点観測システム「TSUBAME」に移行しました。

JPCERT/CC では、インターネット上の攻撃動向を観測するためのシステムを稼働させています。システムについての詳細情報や観測事例については、下のリンクよりご参照ください。


インターネット定点観測について

JPCERT/CC は 2003年度より定点観測システムを立ち上げ運用しています。 定点観測システムではインターネット上に観測用のセンサーを分散配置し、ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっています。 定点観測システムによって得られた情報は Web を通じて定期的に公開しているほか、注意喚起発行などを通じてネットワーク管理者やシステム管理者に向けてセキュリティ予防情報を提供するために使用しています。

定点観測システムで設置しているセンサーは IX の近傍や xDSL のエッジ等様々なアドレスブロックに分散配置され、脅威を全方向から捉えるようになっています。インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録しています。観測用センサーは、国内外のネットワークに設置しています。

Topへ


TSUBAME プロジェクトとは

JPCERT/CC は 2007 年から、National CSIRT の協力のもと定点観測用のセンサーを海外のそれぞれの地域に分散配置するための活動を開始しました。本プロジェクトは、アジア・太平洋地域インターネット定点観測可視化プロジェクト(TSUBAME) と命名されました。TSUBAME プロジェクトで設置されたセンサーの観測結果はひとつのデータとして共有しています。 本プロジェクトの活動により、日本発の感染活動や弱点探索のためのスキャンが行われている状況や、日本が送受信対象となっていない、海外地域同士の動向についても状況が把握できるようになりました。また、プロジェクトに参加しているメンバーは、お互いに連携し、各地域のワームの感染活動や弱点探索のためのスキャンの動向を分析し、情報交換を行っています。 また、TSUBAME ではワームの感染活動や弱点探索のためのスキャンの動向を効率的に把握するためには、どのように脅威を可視化するかといったこともテーマとして、共同で研究しています。 JPCERT/CC では TSUBAME プロジェクトで得られた国内外の観測傾向や情報を元に、インシデント対応や注意喚起発行などを通じてネットワーク管理者への情報発信を行っています。

Topへ


TSUBAME プロジェクト加盟組織

2015年9月現在、アジア・太平洋地域など、National CSIRT(Computer Security Incident Response Team の略)を中心に、21地域 25チームが加盟しています。

Topへ


観測グラフ

  • アクセス先ポート別グラフ

各センサーに到達したパケット数を集計し、最近一週間の上位5ポートおよびICMPをグラフ上に描画したものです。

  • 3ヶ月グラフ(アクセス先ポート別グラフ)
3ヶ月グラフ
[クリックすると拡大します]
  • 1年間グラフ(アクセス先ポート別グラフ)
1年間グラフ
[クリックすると拡大します]

Topへ

  • ポート別グラフ
主にサービス提供目的で使用しているポートのグラフを個別に描画したものです。
クリックすると3ヶ月と1年間のグラフが表示されます。

ICMP

ICMP(Internet Control Message Protocol:インターネット制御通知プロトコル)は、IP(Internet Protocol) 通信においてエラーメッセージの通知や制御メッセージの送信を行うプロトコルです。ICMPは、RFC792にて規定されています。TSUBAME では、全てのタイプの ICMP メッセージを集計して ICMP として表示しています。

ICMP

Topへ

FTP (port20/TCP,port21/TCP)

FTP(File Transfer Protocol:ファイル転送プロトコル)は、TCP/IP ネットワークにて主にサーバ・クライアント間のファイルの転送に使用されるプロトコルです。通常、FTP では制御用 (21/tcp) とデータ用 (20/tcp) に二つの TCP コネクションが使用されます。 FTPはRFC 959 にて規定されています。

port20/TCP
port21/TCP

Topへ

SSH (port22/TCP)

SSH(Secure Shell:セキュアシェル)は、安全性が確保されていないネットワーク上でのセキュアなリモートログインやその他のセキュアなネットワークサービスを提供するプロトコルです。クライアントとサーバ間の通信には、22/tcp が使用されます。SSH は、RFC4250 ~ 4256 にて規定されています。

port22/TCP

Topへ

TELNET (port23/TCP)

TELNET は、TCP/IP ネットワークにて主に端末間の 8 ビット双方向通信を提供するプロトコルです。通常端末間の通信には 23/tcp が使用されます。TELNET は、RFC854 にて規定されています。TELNET では通信の秘匿性が保証されないため、遠隔のシステムとの通信には SSH などを使用することが推奨されます。

port23/TCP

Topへ

SMTP (port25/TCP)

SMTP(Simple Mail Transfer Protocol:簡易メール転送プロトコル)は、電子メールを転送するプロトコルです。通常、クライアントとサーバ間の通信には 25/tcp が使用されます。SMTP は、RFC2821 にて規定されています。

port25/TCP

Topへ

DNS (port53/TCP,port53/UDP)

DNS(Domain Name System:ドメインネームシステム)は、ドメイン名とIPアドレスの対応付けを行う階層的な分散型データベースシステムです。通常、クライアントとサーバ間の通信には 53/tcp,53/udp が使用されます。DNSは、RFC1034,1035 にて規定されています。

port53/TCP
port53/UDP

Topへ

HTTP (port80/TCP)

HTTP(Hypertext Transfer Protocol:ハイパーテキスト・トランスファー・プロトコル)は、クライアント(ブラウザ)とサーバの間で WEB コンテンツを送受信するために用いられる通信プロトコルです。通常、クライアントとサーバ間の通信には 80/tcp が使用されます。HTTP は、RFC 2616 にて規定されています。

port80/TCP

Topへ

POP3 (port110/TCP)

POP(Post Office Protocol:ポストオフィスプロトコル)は、メールサーバから電子メールを受信するためのプロトコルです。現在は、改良された POP3(POP version3) が主に使用されています。通常、クライアントとサーバ間の通信には 110/tcp が使用されます。POP3 は、RFC1939 にて規定されています。

port110/TCP

Topへ

NTP (port123/UDP)

NTP(Network Time Protocol:ネットワークタイムプロトコル)は、ネットワークに接続された機器の時刻を正しい時刻に同期させるためのプロトコルです。通常、クライアントとサーバ間の通信に 123/udp が使用されます。NTP は、RFC1305 にて規定されています。

port123/UDP

Topへ

IMAP4 (port143/TCP)

IMAP(Internet Message Access Protocol:インターネットメッセージアクセスプロトコル)は、メールサーバから電子メールを受信したり、メールサーバ上でメールを操作したりするプロトコルです。主に利用される IMAP4 rev1 では、クライアントとサーバ間の通信に 143/tcp が使用されます。IMAP4 rev1 は、RFC3501 にて規定されています。

port143/TCP

Topへ

HTTPS (port443/TCP)

HTTPS(Hypertext Transfer Protocol Security:ハイパーテキスト・トランスファー・プロトコル・セキュリティ)は、ブラウザ(クライアント)とサーバ間の通信を暗号化する際に使用される URI スキームです。通常、クライアントとサーバ間の通信に 443/tcp が使用されます。

port443/TCP

Topへ

MSSQL (port1433/TCP,port1434/UDP)

MSSQL(Microsoft SQL Server)は、Microsoft SQL Server の略称です。通常、クライアントとサーバの通信や問い合わせに、1433/tcp,1434/udp が使用されます。

port1433/TCP
port1434/UDP

Topへ

RDP (port3389/TCP)

RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)は、Microsoft ターミナルサービスが稼働するシステムに遠隔のコンピュータから接続する際に使用されるプロトコルです。通常、クライアントとサーバ間の通信には 3389/tcp が使用されます。

port3389/TCP

Topへ


定点観測活動に基づく注意喚起一覧

Topへ


    定点観測レポート

    定点観測データの提供について

    JPCERT/CCでは、定点観測システムで観測されたパケットを記録しデータを保存しています。主に大学などの研究向けにネットワークモニタリング観測データを開示しています。フォーマットについては、以下の情報となります。データの提供を希望される方は、office@jpcert.or.jpまでお問い合わせください。

    時刻,センサー識別子,送信元IPAddress,送信元ポート番号,送信先ポート番号,プロトコル,(TCPの場合は,TTL,Code Bit,Windowサイズ,Urgent Pointerなど UDPの場合は Length の情報も提供可能です) ※定点観測システムを移行したため、旧システムの観測データには一部のフォーマットで含まれていない項目があります。

    Topへ


    国内の定点観測事業者の交流について

    JPCERT/CCでは、原則国内の定点観測事業を行っている組織を対象に、4半期に1度観測動向など情報共有のための会議を実施しております。定点観測システムを運用中で観測データをもとに情報共有のための会議への参加に興味のある方は、office@jpcert.or.jp までお問い合わせください。

    2015年4月1日現在、ご参加いただいている組織(順不同)は以下の通りです。

    お知らせ [2015年9月29日現在]
    ・設置環境問題により、9月20日 14時50分~9月24日 9時20分までのデータは欠損しています。

    Topへ

    CSIRTマテリアル
    パスワードリスト攻撃による不正ログイン防止
    インシデント対応依頼
    Follow jpcert on Twitter
    blog_banner_english