サイバーインシデントがなくなるその日まで

JPCERT Coordination Center

powered by Yahoo! JAPAN

  • このサイト内を検索
  • ウェブ全体を検索

インターネット定点観測レポート(2024年 10~12月)

最終更新: 2025-02-28

1. 概況

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、一定のIPアドレス帯に向けて網羅的に発信されるパケットを観測しています。こうしたパケットの発信は特定の機器や特定のサービス機能を探索するために行われていると考えられます。JPCERT/CCでは、センサーで観測されたパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。センサーから収集したデータを分析し、問題が見つかれば、解決できる可能性がある関係者に情報を提供し、対処を依頼しています。
本レポートでは、本四半期にTSUBAME(インターネット定点観測システム)が観測した結果とその分析の概要を述べます。
本四半期に探索された国内のサービスのトップ5は[表1]に示すとおりでした。

[表1:頻繁に探索された国内のサービスのトップ5]
順位 宛先ポート番号 前四半期の順位
1 Telnet(23/TCP) 1
2 8728/TCP 2
3 http(80/TCP) 3
4 ssh(22/TCP) 5
5 ntp(123/UDP) TOP10外
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。

[表1]に示したサービスを探索するパケット観測数の推移を[図1]に示します。

2024Q3-20241001-20241231_01.png
[図1 探索頻度トップ5のサービス(宛先ポート番号)宛のパケット観測数の推移(2024年10~12月)]


本四半期に最も頻繁に探索されたサービスはTelnet(23/TCP)、2番目は8728/TCPでした。このポート番号はIANAのリストには記載されていませんが、MikroTik社のルーターの管理に使われているAPIで待ち受けに使用されています。3番目、4番目は、http(80/TCP)と、ssh(22/TCP)でした。5番目には何度か一時的な急増が見られたntp(123/UDP)が入りました。国内を対象とした探索活動の探索元地域を、本四半期において活動が活発だった順に並べたトップ5を[表2]に示します。

[表2:探索元地域トップ5]
順位 送信元地域 前四半期の順位
1 米国(US) 1
2 ブルガリア(BG) 2
3 中国(CN) 3
4 イギリス(GB) 6
5 セーシェル(SC) 9


[表2]に掲げた本四半期の送信元地域の傾向を[図2]に示します。

2024Q3-20241001-20241231_02.png
[図2 送信元地域ごとのパケット数の推移(2024年10~12月)]


トップの米国から3番目までは前四半期と同じでした。オランダからのパケットが11月26日ごろから徐々に減少して6位となり、代わりにイギリスが4位となりました。5位になったセーシェルですが、複数の宛先ポート番号を対象としたパケットが一時的に増加する現象が見られました。なお、TSUBAMEではRIR(Regional Internet Registry)による割り当て情報を用いて個々のIPアドレスの地域を判断しています。

2. オープンリゾルバーを踏み台に使用した攻撃パケットの観測について

本章では、12月に国内のオープンリゾルバーを踏み台とした攻撃パケットの観測について取り上げます。攻撃パケットとしてDNSが使用する53/UDPが送信元ポート番号となっているのが特徴です。日本国内が送信元であった攻撃パケットのIPアドレス数の推移を示します(図3)。

2024Q3-20241001-20241231_03.png
[図3 日本国内から送信されたDNSパケットのIPアドレス数(2024年10~12月)]


期中を通じて攻撃パケットを観測しなかった日が大半ですが、12月18日から20日、29日に急激かつ一時的な増加が見られました。送信元となっていたIPアドレスについてSHODANなどを用いて確認すると、ほぼすべてがオープンリゾルバー状態であることが確認できました。それらのホストについて次のいずれかの特徴が見られました。

  1. LinuxやMacOS等を用いたサーバーがリゾルバーとして動作しており、リゾルバーに対するアクセス制限が行われていない
  2. SOHO・事業者向けルーター製品で、アクセス制限を設定していない
  3. 一般向けルーター製品で、WANポートとLANポートとを取り違えて接続して利用している
機器やサーバーを適切に設定すること、特にインターネットからのアクセス(WANポートへのアクセス)に対するアクセス制限の確認をお願いします。多くのケースで、リゾルバーとして確認できるだけでなく、管理インタフェースやAPIポートなどにWANからアクセス可能な状態でした。意図していない設定や接続状態になっていないかを確認することも重要です。マニュアルやコンフィグ・設定を照らしあわせて、意図した設置になっていることを確認してください。JPCERT/CCでは、オープンリゾルバーかどうかの判定用のサービス(2)を提供しています。サーバーの構築後やネットワーク機器の設置後にぜひご利用ください。
今回観測したパケットは比較的サイズが大きくなりやすいDNSSECを使うなどの特徴がありました。また、TSUBAMEのセンサーは世界各地に設置していますが、特定のクラウド事業者のネットワークに設置したセンサーのみで観測しました。当該事業者のIPアドレスを詐称した、DNSクエリを送信することで、当該事業者へのDDoS攻撃を試みた活動の一部であった可能性があったため、今回のレポートでは本事象を取り上げました。


3. JPCERT/CCからのお願い

JPCERT/CCでは、不審なパケットの送信元IPアドレスについてISPを通じて当該IPアドレスのユーザーに確認と対応をお願いすることがあります。このような依頼を受け取った際には、調査活動へのご理解をいただき、可能であれば、使用していた製品やファームウェアのバージョン、侵害の有無などの情報提供などのご協力をいただければ幸いです。本報告書で紹介したものを含め、不明な探索活動が複数あり、提供いただいた情報が解明の重要な糸口になり得ます。

4. 参考文献

(1) IANA(Internet Assigned Numbers Authority)
Service Name and Transport Protocol Port Number Registry
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
(2) JPCERT/CC
オープンリゾルバー確認サイト
https://www.jpcert.or.jp/magazine/security/openresolver.html



本活動は、経済産業省から委託を受け、「令和6年度サイバー攻撃等国際連携対応調整事業」として実施したものです。

本文書を引用、転載する際にはJPCERT/CC 広報(pr@jpcert.or.jp)まで確認のご連絡をお願い
します。最新情報についてはJPCERT/CCのWebサイトをご参照ください。

JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/tsubame/report/index.html



Topへ

公開資料を見る

おすすめ情報