JPCERT コーディネーションセンター

安全・安心なIT社会のための、国内・国際連携を支援する

お問い合わせ 採用情報 サイトマップ English

Home > インターネット定点観測システム > インターネット定点観測レポート(2014年 7~9月)

最終更新: 2014-10-28

インターネット定点観測レポート(2014年 7~9月)


1 概況

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。なお、本レポートでは、本四半期に観測された日本宛のパケットを中心に分析した結果について述べます。

宛先ポート番号別パケット観測数のトップ5を [表1]に示します。


[表1:宛先ポート番号トップ5]
宛先ポート番号 本四半期順位 前四半期順位
23/TCP (telnet) 1 3
445/TCP (microsoft-ds) 2 1
22/TCP (ssh) 3 2
0/ICMP 4 4
1433/TCP (ms-sql-s) 5 5

※ポート番号とサービスの対応の詳細は、IANAの文書(*1)を参照してください。
なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルに則ったパケットが受信されているとは限りません。


図1は、期間中のトップ5の宛先ポート番号ごとの日々のパケット観測数を示しています。


20140701-20140930-distport-top5.png
[図1:2014年7~9月の宛先ポート番号別パケット観測数トップ5]
クリックすると拡大されます

送信元地域のトップ5を [表2]に示します。

[表2:送信元地域トップ5]
送信元地域 本四半期順位 前四半期順位
中国 1 1
米国 2 2
台湾 3 4
オランダ 4 3
日本 5 5

図2に期間中のトップ5のパケット送信元地域からの日々のパケット観測数を示します。

20140701-20140930-region-top5.png
[図2:2014年7~9月の送信元地域別トップ5ごとのパケット観測数]
クリックすると拡大されます

23/TCP宛のパケット数が8月中旬に増加し、本四半期を通じた合計でも1位となりました。23/TCPの現象については、「2.1」で詳しく述べます。その他については、多少の増減はありますが、特筆すべき状況の変化は見られませんでした。


2 注目された現象

2.1  23/TCPポート宛へのパケットの増加

図3が示すように、7月中旬から9月上旬にかけて23/TCP宛へのパケット数が増加しました。telnetを待ち受けるサーバを搭載したネットワーク機器を対象とする探索活動については、過去の定点観測レポート (*2,3,4) でも紹介したことがありましたが、再び活発になっています。

20140701-20140930-23tcp.png
[図3:2014年7~9月の23/TCP宛のパケット観測数]
クリックすると拡大されます

図4が示すように本四半期に観測された23/TCP宛のパケットの送信元地域のトップは中国で、23/TCP宛の全パケット数のうち約5.5割を占めました。図1および図3が示すように半数以上を占める中国を送信元としたパケットの増加の傾向が、そのまま本四半期の23/TCPの傾向に表れています。また、2位のインドと3位の韓国についても若干の増加が見られました。

20140701-20140930-23tcp-region-pie-chart.png
[図4:2014年7~9月の23/TCP宛の送信元地域割合]

23/TCP宛パケットの送信元IPアドレスについて調査したところ、インターネット定点観測レポート(2014年 1~3月) (*3)で紹介したネットワークカメラ製品および、国外で使用されている特定のブロードバンドルータ製品 が多数稼働していました。

本四半期の増加は、ネットワークカメラ製品やブロードバンドルータなどにBotプログラムが設置され、それらの機器が複数のセンサーに対して頻繁にパケットを送ったことが原因と推測しています。



2.2  10000/TCPポート宛へのパケットの増加

図5が示すように9月下旬から、10000/ TCP宛へのパケット数が増加しました。(*5)

20140920-20141008-10000tcp.png
[図5:2014年9月20日から10月9日までの10000/TCP宛のパケット観測数]
クリックすると拡大されます

2014年9月20日から10月9日までに観測した10000/TCP宛のパケットの送信元地域別の内訳トップは米国ですが、米国以外は図6と図 7 が示すように日本を含む様々な地域に分散しています。

20140920-20141008-10000tcp-tsubame.png
[図6:2014年9月29日の10000/TCP宛のパケット送信イメージ]
クリックすると拡大されます


20140920-20141008-10000tcp-region-pie-chart.png
[図7:2014年9月20日から10月9日までの10000/TCP宛の送信元地域割合]


10000/TCPポートは、ウェブベースのシステム管理ツールである Webminの標準ポートとして利用されています。センサーに対して10000/TCP宛へのパケットを送信したIPアドレスについて調査したところ、Webminが多数稼働 (図8は調査結果の一例) していることを確認しました (センサーに対して10000/ TCP宛のパケットを送信した IPアドレスを調査した限りでは、国内のIPアドレスは、他の地域よりも高い割合でWebminが稼働していました)。

20140929-webmin.png
[図8:送信元IP アドレスで稼働するWebminの一例]


Webminで標準の shell として使われることが多いGNU bashに、深刻な脆弱性があったことが9月下旬に公表 (*6) されました。この脆弱性を悪用すると、Webminを稼働させているユーザの権限で、任意のコードを実行することができます (JPCERT/CCでは、Webmin 1.700 (RPM) と CVE-2014-6271 の影響を受けるバージョンの GNU bash を使用して検証し、任意のコードが実行できることを実際に確認しています) 。標準的なインストールをすると、Webminは管理者 (root) 権限で稼働しますので、この脆弱性を悪用されれば管理者権限で任意のコードを実行され得ることになります。

今回観測している10000/TCP宛のパケットは、GNU bash の脆弱性を悪用できるWebmin を探索するものと推測されます。

インターネットからアクセス可能なサーバでWebmin がインストールされているかどうかを調査し、インストールされていた場合には、「TCP 10000番ポートへのスキャンの増加に関する注意喚起」(*7)を参考に適切なセキュリティ対策 (パッチやアップデート、アクセス制御、セキュリティ設定の再確認など) を実施して、攻撃の踏み台に使用されないよう努めてください。

また、GNU bash の脆弱性については、cPanel やParallels Plesk Panelなどシステム管理ツールもの影響を受ける(*8,9)とのことですので、Webminに準じた対策を検討してください。cPanel やParallels Plesk Panelが使用する標準ポート (2082/TCP, 2083/TCP, 8443/TCP) 宛のパケット数は、以前から若干量が観測されてきたものの、9月下旬の前後における変化はありません。


3 参考文書

(1) Service Name and Transport Protocol Port Number Registry
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml

(2) JPCERT/CC インターネット定点観測レポート(2012年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report201201-03.html

(3) JPCERT/CC インターネット定点観測レポート(2012年 4~6月)
https://www.jpcert.or.jp/tsubame/report/report201204-06.html

(4) JPCERT/CC インターネット定点観測レポート(2014年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report201401-03.html

(5) @police Bashの脆弱性を標的としたアクセスの観測について(第2報)
https://www.npa.go.jp/cyberpolice/topics?seq=14737

(6) GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html

(7) TCP 10000番ポートへのスキャンの増加に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140038.html

(8) cPanel Security Team: Bash CVE-2014-6217 and CVE-2014-7169
http://cpanel.net/cpanel-security-team-bash-cve-2014-6217-and-cve-2014-7169/

(9) [Hub] 「Shellshock」脆弱性
http://kb.sp.parallels.com/jp/123006







本活動は、経済産業省より委託を受け、「平成26年度サイバー攻撃等国際連携対応調整事業」として実施したものです。

本文書を引用、転載する際にはJPCERT/CC 広報(office@jpcert.or.jp)まで確認のご連絡をお願いします。最新情報についてはJPCERT/CCのWebサイトをご参照ください。

JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/tsubame/report/index.html


Topへ

CSIRTマテリアル
パスワードリスト攻撃による不正ログイン防止
インシデント対応依頼
Follow jpcert on Twitter
blog_banner_english