1. 概況

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。
センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。
本レポートでは、本四半期にTSUBAME（インターネット定点観測システム）が観測した結果とその分析の概要を述べます。
本四半期に探索された国内のサービスのトップ5は［表1］に示すとおりでした。

［表1］に示した探索されたサービスのトップ5に対するパケット観測数の推移を［図1］に示します。

本四半期に最も頻繁に探索されたサービスはtelnet（23/TCP）でした。ssh（22/TCP）は10月8日から11月末にかけて探索される頻度が多くなり、3番目のredis（6379/TCP）と入れ替わって2番目になりました。また、11月下旬頃からhttp-alt（8080/TCP）とhttp（80/TCP）の探索頻度の順位が入れ替わり、http-alt宛の探索数がhttpより定常的に多くなりました。次に、国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を［表2］に示します。

［表2］に掲げた送信元地域からのパケット観測数の推移を［図2］に示します。

米国、中国の順位は変わりませんでしたが、10月中旬から11月中旬にかけて頻度が増したドイツが3番目になりました。それ以外の地域については特筆すべき点がありません。なお、TSUBAMEではRIR（Regional Internet Registry）による割り当て情報を用いて個々のIPアドレスの地域を判断しています。

2. 日本国内からの探索パケットの観測状況について

本章では、概況では触れることができなかった国内の傾向について取り上げます。本四半期に国内から探索されたサービスの割合を［図3］に示します。

Telnetの探索の頻度が高まり約6割を占めました。2番目のSSHまでは表1の海外と同じでしたが、それ以降は、3番目がMicrosoft-ds（445/TCP）、4番目が56575/TCP、5番目が37215/TCPと異なっていました。トップ5の推移を［図4］に示します。

Telnet（23/TCP）は期中一定の頻度での探索が行われたのではなく、10月初旬と比較して12月下旬には約3倍と変化しました。この探索の一部はNASや無線LANルーター、DVRなどの機器が送信元となっていることが判明しました。一方、探索元が分からなかったものは、httpやhttps等のポートで動作していない機器、または、マルウェアの負荷等により機器が再起動したため調査時までにIPアドレスが変わり追跡できなかった機器と推測されます。
一方、56575/TCPの探索は10月7日頃から頻度が高まりました。56575/TCPの探索元が22/TCPも探索することが多いため、［図4］の両ポートのグラフに相互に似通った変化が見られました探索元の機器にWebブラウザーでアクセスして表示されるページを確認し、ほぼすべてのDVRが送信元となっていることを確認しました。これらのDVRでは、インターネット経由で侵害を受けた結果、何らかのマルウェアが埋め込まれて動作していると推測されます。

3. JPCERT/CCからのお願い

JPCERT/CCでは、不審なパケットの送信元IPアドレスについてISPを通じて当該IPアドレスのユーザーに確認と対応をお願いすることがあります。このような依頼を受け取った際には、調査活動へのご理解をいただき、可能であれば、使用していた製品やファームウェアのバージョン、侵害の有無などの情報の提供などのご協力をいただければ幸いです。本報告書で紹介したものを含め、不明な探索活動が複数あり、提供いただいた情報が解明の重要な糸口になり得ます。

4. 参考文献

Topへ