1 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。なお、本レポートでは、本四半期に観測された日本宛のパケットを中心に分析した結果について述べます。
宛先ポート番号別パケット観測数のトップ5を [表1]に示します。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 22/TCP(ssh) | 3 |
3 | 445/TCP (microsoft-ds) | 2 |
4 | 0/ICMP | 4 |
5 | 1433/TCP (ms-sql-s) | 5 |
なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービス
プロトコルに則ったパケットが受信されているとは限りません。
図1は、期間中のトップ5の宛先ポート番号ごとのパケット観測数の推移を示しています。
クリックすると拡大されます
送信元地域のトップ5を [表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 中国 | 1 |
2 | 米国 | 2 |
3 | 日本 | 5 |
4 | フランス | 9 |
5 | 台湾 | 3 |
図2に期間中のトップ5のパケット送信元地域からのパケット観測数の推移を示します。
クリックすると拡大されます
23/TCP宛のパケット数は、11月上旬に増加し、その状態が約一週間続いたあと減少しましたが、12月に入ってからも数回大きな増減を繰り返しながら大量に観測される状態が続き、本四半期の合計でも最多となりました。これについては2.1で詳しく述べます。
10月中旬には日本を送信元とするパケット数が増加しました。しかしながら、これは特定のセンサーがP2Pソフトウエアの通信先にされて12543/TCPと12543/UDP宛の大量のパケットを一時的に受信した影響だと推測され、このセンサー以外では顕著な変化が見られなかったことから、広域的な脅威を示すデータではないと判断しています。その他については、多少の増減はありましたが、特筆すべき状況の変化は見られませんでした。
2 注目された現象
2.1 23/TCP, 8080/TCP宛へのパケットの増加図3が示すように、11月上旬から23/TCP宛へのパケット数は、増減を繰り返しながら増加しています。telnetサーバを搭載したネットワーク機器を対象とする探索活動については、過去の定点観測レポート (*2,3,4,5) でも紹介しましたが、再び活発になっています。また、12月上旬には8080/TCP宛のパケットが増加しました (*6,7,8) 。
クリックすると拡大されます
本四半期における23/TCP宛のパケットの主な送信元地域ごとの観測数の推移を図4に示します。送信元地域が中国であるパケットが多数を占めていますが、12月上旬には送信元地域が日本であるパケットが増加しました。
本四半期における8080/TCP宛のパケットの主な送信元地域ごとの観測数の推移を図5に示します。中国が最も多く、11月上旬から増減を繰り返しています。その他のアメリカ(2位)、台湾(3位)、ドイツ(4位)、フランス(5位)は、12月上旬を境に増加し、日本(6位)も同じような傾向を示しています。
クリックすると拡大されます
図6は、送信元が日本の8080/TCP宛のパケットの観測数の推移を示しています。
クリックすると拡大されます
これらのパケットの一部について送信元ノードを調査し、確認できたところでは、11月までは、2014年 1~3月期の本レポートで(*2)で紹介した、ネットワークカメラ製品および国外で使用されている特定のブロードバンドルータ製品がほとんどでしたが、11月下旬からは、それらに加えてQNAP社のNAS製品 (以下、「QNAP NAS」といいます。) が多く見られるようになりました。23/TCPおよび 8080/TCP 宛のパケットの送信元IPアドレスから、日本、韓国、台湾、アメリカ、ドイツ、フランスの各地域に設置されたQNAP NAS が確認できました。
8080/TCPポートは、QNAP NASの管理画面の標準ポートとして利用されています。また、QNAP NAS では、shell としてGNU bashが使われており、古いバージョンのファームウェアを使用している場合、9月下旬に公表 (*9) された脆弱性の影響を受けます。この脆弱性を悪用すればQNAP NASで任意のコードを実行できます(*10,11,12)。11月下旬以降の 8080/TCP 宛のパケットを調査したところ、QNAP NAS のGNU bash の脆弱性を対象としたと推測される攻撃のリクエストが送られてくることを確認しました。11月下旬以降の 8080/TCP 宛のパケットを調査したところ、QNAP NAS のGNU bash の脆弱性に対する攻撃と推測されるリクエストであることが確認できました。
11月下旬から観測している23/TCP、8080/TCP宛のパケットは、GNU bash の脆弱性を悪用して乗っ取られたQNAP NAS が、同脆弱性をもつ他のQNAP NASなどを探索するための踏み台にされて、送信していたものと推測されます。また、数は少ないものの12月下旬より、これらのQNAP NAS が10000/TCP 宛のパケットを送信していることも確認しています。このパケットは脆弱なQNAP NAS のみを対象としており、QNAP NAS 以外の製品では、例えGNU bashの脆弱性をもっていても、影響を受けないと思われます。
QNAP NAS においてリモートアクセスできるようにするmyQNAPcloudサービスが有効になっている場合(インストール方法によっては、標準のセットアップ手順で、myQNAPcloudサービスの設定が行われ、意図せず有効になっている可能性があります)には、「TCP 8080番ポートへのスキャンの増加に関する注意喚起」(*13)を参考に適切なセキュリティ対策 (ファームウェアバージョンの確認やアップデート、攻撃の影響の確認など) を実施して、攻撃の踏み台に使用されないよう努めてください。
3 参考文献
(1) Service Name and Transport Protocol Port Number Registryhttp://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml
(2) JPCERT/CC インターネット定点観測レポート(2012年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report201201-03.html
(3) JPCERT/CC インターネット定点観測レポート(2012年 4~6月)
https://www.jpcert.or.jp/tsubame/report/report201204-06.html
(4) JPCERT/CC インターネット定点観測レポート(2014年 1~3月)
https://www.jpcert.or.jp/tsubame/report/report201401-03.html
(5) JPCERT/CC インターネット定点観測レポート(2014年 7~9月)
https://www.jpcert.or.jp/tsubame/report/report201407-09.html
(6) @police Bashの脆弱性を標的としたアクセスの観測について(第3報)
https://www.npa.go.jp/cyberpolice/topics/?seq=15063
(7) @police インターネット観測結果等(平成26年11月期)
http://www.npa.go.jp/cyberpolice/detect/pdf/20141218.pdf
(8) @police インターネット観測結果等(平成26年12月期)
http://www.npa.go.jp/cyberpolice/detect/pdf/20150113.pdf
(9) GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
(10) Protect Your Turbo NAS from Remote Attackers - Bash (Shellshock) Vulnerabilities
http://www.qnap.com/i/en/support/con_show.php?cid=61
(11) An Urgent Fix on the Reported Infection of a Variant of GNU Bash Environment Variable Command Injection Vulnerability
http://www.qnap.com/i/jp/support/con_show.php?cid=74
(12) The Shellshock Aftershock for NAS Administrators
https://www.fireeye.com/blog/threat-research/2014/10/the-shellshock-aftershock-for-nas-administrators.html
(13) TCP 8080番ポートへのスキャンの増加に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140055.html
最新情報についてはJPCERT/CCのWebサイトをご参照ください。
JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/tsubame/report/index.html