1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決を行うことができる適切な関係者に情報を提供し、善処を依頼しています。
本レポートでは、TSUBAME(インターネット定点観測システム)で本四半期に観測されたパケットを中心に分析した結果について述べます。
本四半期に国内で観測されたパケットの宛先ポート番号をパケットが多かった順に並べた時のトップ5は[表1]に示すとおりでした。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP(telnet) | 1 |
2 | 6379/TCP(redis) | 2 |
3 | 37215/TCP | 7 |
4 | 22/TCP(ssh) | 4 |
5 | 445/TCP(Microsoft-ds) | 5 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。 |
[表1]に示した各宛先ポート番号を持つパケット観測数の推移を[図1]に示します。
最も多く観測されたパケットは23/TCP(telnet)宛で、期間中に増減を繰り返していました。6379/TCP宛のパケットは本四半期を通じて微増傾向が続きました。37215/TCP宛のパケットが、1月18日頃から微増傾向(2)が続いた後に、2月26日頃からの約10日間には一段と増えて、順位も3番目に上がりました。パケットの送信元には日本国内のIPアドレスも含まれていました。この現象については「2.1. さまざまな地域を送信元とする37215/TCP宛のパケットの推移について」で取り上げます。次に、本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 米国 | 1 |
2 | 中国 | 4 |
3 | オランダ | TOP10外 |
4 | ロシア | 2 |
5 | 英国 | 3 |
[表2]に掲げた送信元地域からのパケット観測数の推移を[図2]に示します。
米国からのパケットが期間を通して一番多く観測されました。中国からのパケットの観測数は、期間中に徐々に増えて、期初と比べて期末には(10日間平均で)約1.5倍となりました。1月23日頃を境として、英国とオランダを送信元とするパケット観測数に変化がありました(オランダが10日平均で約8倍)。これは、従来英国に割り当てられていたIPアドレス帯がオランダに割り当てられた影響と考えています。なお、TSUBAMEではRIR(Regional Internet Registry)による割り当て情報を用いて個々のIPアドレスの地域を判断しています。
2. 注目された現象
2.1. さまざまな地域を送信元とする37215/TCP宛のパケットの推移について
日本を送信元とするMiraiの特徴 (Initial Sequence NumberとDestination IP addressとが一致する;以下、Mirai型パケットという)を持つ37215/TCP宛のパケットが2月中旬頃から3月中旬頃にかけて増加しました。2月19日から21日に一時的な増加(3)(4)がありました。2月25日頃から再び増加に転じ、2月28日には増加前の2月18日までの10日平均と比較して約6倍に達した後、3月18日頃にかけてゆるやかに減少しました。(図3)
これらのパケットの送信元は37215/TCP宛だけでなく23/TCP(telnet)宛のパケットも送信していました。図4に日本を送信元とする23/TCP宛のパケットの推移を示します。図3に示した増減と相関するような特徴的な変化を見出すことはできませんでした。
さまざまな地域から送信された37215/TCP宛のパケットで一時的な増加の現象が観測されました。一部地域について増加の様子を図5から図11に示します。
これらの地域以外からも、時期は異なるものの一時的な増加が見られました。図1の37215/TCPの変化はこれらの一時的な増減が重なり合ったものと考えられます。
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
(2) | NICTER 解析チーム @nicter_jp |
https://twitter.com/nicter_jp/status/1633309683778994181 |
|
(3) | NICTER 解析チーム @nicter_jp |
https://twitter.com/nicter_jp/status/1633310985074397184 |
|
(4) | NICTER 解析チーム @nicter_jp |
https://twitter.com/nicter_jp/status/1645981342499475457 |