1 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。なお、本レポートでは、本四半期に観測された日本宛のパケットを中心に分析した結果について述べます。
宛先ポート番号別パケット観測数のトップ5を [表1]に示します。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 0/ICMP | 4 |
3 | 445/TCP (microsoft-ds) | 2 |
4 | 22/TCP (ssh) | 5 |
5 | 1433/TCP (ms-sql-s) | 6 |
なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービス
プロトコルに則ったパケットが受信されているとは限りません。
図1は、期間中のトップ5の宛先ポート番号ごとのパケット観測数の推移を示しています。なお、2015年9月20日14時50分から9月24日9時20分にかけて、インターネット定点観測システムの収容施設の設備に問題が発生し、システムの運用を停止したため、この期間の観測データが欠落しています。
クリックすると拡大されます
送信元地域のトップ5を [表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 中国 | 1 |
2 | 米国 | 2 |
3 | 日本 | 4 |
4 | 台湾 | 3 |
5 | オランダ | 6 |
図2に期間中のトップ5のパケット送信元地域からのパケット観測数の推移を示します。
クリックすると拡大されます
Telnetサーバを搭載したネットワーク機器を探索する活動については、過去の定点観測レポートでも紹介しましたが、本四半期も23/TCP宛のパケットを多数観測しています。また、9月24日から10月上旬に、主に中国、米国を送信元とするパケット数が増加しました。しかしながら、これは特定のセンサーが1900/UDP宛にSSDPのM-SEARCHリクエストのパケットを一時的に多数受信した影響によるものです。このセンサー以外では、顕著な変化が見られなかったことから、広域的な脅威を示すデータではないと判断しています。その他については、多少の増減はありましたが、特筆すべき状況の変化は見られませんでした。
2 注目された現象
2.1 SYNful Knockが設置されたCisco社製ルータを探索するパケット9月中旬よりマルウエアSYNful Knockが設置されたCisco社製ルータを探索する目的と推測される80/TCP宛のパケットを継続して観測しています。2015年9月中旬以降について、その観測数を図3に示します。
クリックすると拡大されます
Cisco社は、8月11日にCisco IOS Software Platformを狙う攻撃についての注意喚起(*2)を公開しました。この情報によると、同社製ルータが何らかの方法で侵入され、マルウエア (細工されたROMMON image) が設置される事例が確認されています。その後、セキュリティベンダであるFireEye社が9月15日に、Cisco社製ルータに設置されるマルウエアをSYNful Knockと称し、このマルウエアの調査結果 (挙動や感染しているかどうかの探索方法など) を公開(*3)しました。Cisco社は、FireEye社の記事を受けて、改めて注意を促す記事(*4)を公開しています。
FireEye社が公開した探索方法は、攻撃者がSYNful Knock が設置されたCisco社製ルータをコントロールするパケットの特徴を使用したもので、このパケットに応答する内容によってSYNful Knockが設置されているかどうかを判断しています。9月中旬からインターネット定点観測システムで観測しているパケット (図3) は、FireEye社が公開した探索方法に現れるパケットと同じものであることから、これらはSYNful Knockが設置されているCisco社製のルータを探索する目的と推測しています。
なお、SYNful Knockの設置状況を調査したミシガン大学やカリフォルニア大学などのグループ(*5)によると、9月中旬時点では、SYNful Knockが設置されたCisco社製ルータがインド、メキシコ、フィリピン、ウクライナでは確認されていますが、日本国内では見つかっていません。
これらの状況からわかるように、インターネットからアクセスできるノードは、攻撃対象となりえます。万が一、ルータが侵入されると、内部ネットワークへの侵入や、マルウエア感染、情報詐取など様々なリスクが考えられます。適切なセキュリティ対策 (デフォルトパスワードを使用しない、脆弱性を修正したファームウェアに更新、セキュリティ設定の再確認など) を実施して、攻撃の踏み台に使用されないよう努めてください。
3 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
(2) | Evolution in Attacks Against Cisco IOS Software Platforms |
http://tools.cisco.com/security/center/viewAlert.x?alertId=40411 | |
(3) | SYNful Knock - A Cisco router implant - Part I |
https://www.fireeye.com/blog/threat-research/2015/09/synful_knock_-_acis.html | |
(4) | SYNful Knock: Detecting and Mitigating Cisco IOS Software Attacks |
http://blogs.cisco.com/security/synful-knock | |
(5) | In Search of SYNful Routers |
https://zmap.io/synful/ |
インターネット定点観測レポートPDF版はこちら
最新情報についてはJPCERT/CCのWebサイトをご参照ください。
JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/tsubame/report/index.html