1. 概況

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。
本レポートでは、本四半期にTSUBAME（インターネット定点観測システム）が観測した結果とその分析の概要を述べます。
本四半期に探索された国内のサービスのトップ5は［表1］に示すとおりでした。

［表1］に示した探索されたサービスのトップ5に対するパケット観測数の推移を［図1］に示します。

本四半期に最も頻繁に探索されたサービスはtelnet（23/TCP）であり、2番目はredis（6379/TCP）でした。http（80/TCP）は、期間内で探索される頻度が定常的に高かったために、ssh（22/TCP）と順位が入れ替わりました。 次に、本四半期における国内を対象とした探索活動の探索元地域について、活動が活発だった順に並べたトップ5を［表2］に示します。

［表2］に掲げた送信元地域からのパケット観測数の推移を［図2］に示します。

ブルガリアを送信元とするパケットが、9月8日から11日にかけて、および、13日から16日にかけて一時的に増加しました。それ以外の地域は前四半期と同様でした。なお、TSUBAMEではRIR（Regional Internet Registry）による割り当て情報を用いて個々のIPアドレスの地域を判断しています。

2. 台湾製のNASや無線LANルーター等からの不審なパケットの観測について

NASや無線LANルーター、DVRなどが送信元となっている探索活動の多くが、Miraiの感染活動との関連性が推測される特徴を持っていますが、少数ながらMiraiの特徴を持たない探索活動も観測されています。前者をMirai型探索、後者を非Mirai型探索と記します。ここでは、非Mirai型探索に注目した分析について述べます。探索するサービスが双方の探索で大きく異なっていました。非Mirai型探索対象サービスでは、ftpやhttp、https、mongodb、ms-sql-s、pptp、sip、ssc-agent、imap等に加えて、Well-knownのポート以外も対象となっており、広範囲にわたっています。
探索対象サービスから、非Mirai型探索が探し出そうとしている製品を特定することは困難でした。そこで、探索元の機器情報をShodan.ioなどの情報から調べてみたところ、台湾のメーカーが提供するNASや無線LANルーターなどであることがわかりました。さらに、それらの機器は、インターネットに複数のポートが開放されていたり、ファームウェアが古かったりすることが確認できました。インターネット経由で侵害を受け、何らかのマルウェアが機器上で動作していると推測し、継続して調査を行っています。探索元の機器にWebブラウザーでアクセスすると表示されるページのサンプルを［図3-1～9］に示します。

3. JPCERT/CCからのお願い

JPCERT/CCでは、不審なパケットの送信元IPアドレスについてISPを通じて当該IPアドレスのユーザーに確認と対応をお願いすることがあります。このような依頼を受け取った際には、調査活動へのご理解をいただき、可能であれば、使用していた製品やファームウェアのバージョン、侵害の有無などの情報の提供などのご協力をいただければ幸いです。本報告書で紹介したものを含め、不明な探索活動が複数あり、提供いただいた情報が解明の重要な糸口になり得ます。

4. 参考文献

Topへ