1. 概況

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。
本レポートでは、本四半期にTSUBAME（インターネット定点観測システム）が観測した結果とその分析の概要を述べます。
本四半期に探索された国内のサービスのトップ5は［表1］に示すとおりでした。

［表1］に示したサービスを探索するパケット観測数の推移を［図1］に示します。

本四半期に最も頻繁に探索されたサービスはTelnet（23/TCP）、2番目は8728/TCPでした。このポート番号はIANAのリストには記載されていませんが、MikroTik社のルーターの管理で使われているAPIが待ち受けに使用するポート番号です。3番目から5番目には、http（80/TCP）とredis（6379/TCP）、ssh（22/TCP）が入りました。9月3日ごろからhttpへの探索活動が活発になっていて、redisと順位が入れ替わりました。
次に、国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を［表2］に示します。

［表2］に掲げた本四半期の送信元地域の傾向を［図2］に示します。

引き続き米国がトップ、以下4番目まで順番に変更はありませんでした。ロシアを送信元としたパケットが8月19日ごろに減少し、シンガポールと入れ替わりました。それ以外の送信元地域の傾向について、特筆すべき点はありませんでした。なお、TSUBAMEではRIR（Regional Internet Registry）による割り当て情報を用いて個々のIPアドレスの地域を判断しています。

2. 日本からのTelnet（23/TCP）を対象としたパケットの送信元IPアドレス数の減少について

本章では、日本国内を送信元IPアドレスとした特定のパラメーターを持つTelnetの探索の動向について取り上げます。本四半期を通して、Telnet（23/TCP）を対象とした探索元の数が減少しました（図3）。

期中を通じて緩やかな減少傾向が見られ、9月最終週には7月一週目の約4割まで少なくなりました。送信元のIPアドレスも減ってきており、機器においてもすでに確認されているルーターやDVR機器のみで、新たなものは見られませんでした。
この背景には、IoT機器などに対するセキュリティ対策が進んだ可能性がありますが、攻撃者の興味が他に移った可能性や、攻撃者が使用するマルウェアが変化した第三者に対してむやみに探索を行わない挙動をとるようになった可能性も考えられます。
今後再び活発化する可能性も残っておりますので、ファームウェアの更新や攻撃に対する軽減策などについては継続して行ってください。なお、本件のような異常な探索活動が観測された場合には、「3. JPCERT/CCからのお願い」に記載したように、ISPに情報を提供しています。

3. JPCERT/CCからのお願い

JPCERT/CCでは、不審なパケットの送信元IPアドレスについてISPを通じて当該IPアドレスのユーザーに確認と対応をお願いすることがあります。このような依頼を受け取った際には、調査活動へのご理解をいただき、可能であれば、使用していた製品やファームウェアのバージョン、侵害の有無などの情報提供などのご協力をいただければ幸いです。本報告書で紹介したものを含め、不明な探索活動が複数あり、提供いただいた情報が解明の重要な糸口になり得ます。

4. 参考文献

Topへ