1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、 一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。
本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。
本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | telnet(23/TCP) | 1 |
2 | redis(6379/TCP) | 2 |
3 | ssh(22/TCP) | 3 |
4 | http(80/TCP) | 5 |
5 | rdp (3389/TCP) | 7 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。 |
[表1]に示した探索されたサービスのトップ5に対するパケット観測数の推移を[図1]に示します。
本四半期に最も頻繁に探索されたサービスはtelnet(23/TCP)でした。2番目、3番目は変動がありませんでした。4番目にhttp(80/TCP)、5番目にrdp(3389/TCP)が入りました。この順位の変動は、http-alt(8080/TCP)とICMPの探索が大きく減った影響であり、httpとrdpの探索数は前四半期とほぼ同数でした。
次に、国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 米国 | 1 |
2 | ブルガリア | 5 |
3 | オランダ | 4 |
4 | 中国 | 2 |
5 | ロシア | 6 |
[表2]に掲げた送信元地域からのパケット観測数の推移を[図2]に示します。
引き続き米国がトップでした。ブルガリアは2月上旬からパケット数が増加したため2番目になりました。また、オランダも2月上旬から下旬にかけて一時的に増加したため3番目になりました。それ以外の地域については特筆すべき変化がありませんでした。なお、TSUBAMEではRIR(Regional Internet Registry)による割り当て情報を用いて個々のIPアドレスの地域を判断しています。
2. 日本国内からの探索パケットの観測状況について
本章では、最近のTelnetに対する探索の動向について取り上げます。Telnetに対する探索パケットの多くがMiraiに由来しています。Miraiに由来する探索パケット(以下、「Mirai型パケット」という。)かどうかは、「2323/TCPなど他のさまざまなサービスを探索する、同じ送信元からのパケットが同時に観測される」と「宛先IPアドレス=Sequence Number」の特徴を持っているかどうかで判定できます。最近、Miraiの特徴を持たないTelnetの探索パケット(以下、「非Mirai型パケット」という。)が頻繁に見られるようになりました。日本国内のセンサーで観測されたMirai型パケットと非Mirai型パケットの双方について、まずは送信元が海外であるものの観測数を[図3]に示します。
Mirai型パケットと非Mirai型パケットとの間で、変化のタイミングに若干のズレがあるものの、いずれも大局的には1月初めに一旦減少し、その後、1月16日頃から2月の上旬にかけて増えました。3月末に向けては大きな増減が見られなくなり、両者がほぼ同数となりました。減衰の兆候が見られないことから、どちらの感染活動も海外で続いていると考えられます。
次に国内が送信元となっている探索パケットの推移を[図4]に示します。
1月に入った時点では、Mirai型パケットが非Mirai型の2倍ほど観測されていました。2月に入ってから一週間ほど増え続けた後、2月末にかけて急減してから少し持ち直し、その後はほぼ一定の探索が続いています。
Mirai型パケットと非Mirai型パケットの送信元を調査すると、時期によって製品に違いがありましたが、ルーターやDVR等のIoT製品であることが分かりました。Miraiとは異なるマルウェアが存在し、ボットネットを形成する活動が活性化していて、日本国内においてはMiraiとは異なるマルウェアの感染活動が活発になっており、独自のボットネットを新たに形成しつつあると推測しています。
3. JPCERT/CCからのお願い
JPCERT/CCでは、不審なパケットの送信元IPアドレスについてISPを通じて当該IPアドレスのユーザーに確認と対応をお願いすることがあります。このような依頼を受け取った際には、調査活動へのご理解をいただき、可能であれば、使用していた製品やファームウェアのバージョン、侵害の有無などの情報の提供などのご協力をいただければ幸いです。本報告書で紹介したものを含め、不明な探索活動が複数あり、提供いただいた情報が解明の重要な糸口になり得ます。
4. 参考文献
(1) |
IANA(Internet Assigned Numbers Authority) Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |