1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し観測網に参加してもらう活動を行っています。各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRT等に情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、国内に設置されたセンサーで本四半期に観測されたパケットを中心に分析した結果について述べます。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 445/TCP (microsoft-ds) | 2 |
3 | 1433/TCP (ms-sql) | 6 |
4 | 80/TCP(http) | 3 |
5 | 22/TCP (ssh) | 5 |
※ | ポート番号とサービスの対応の詳細は、IANAの文書(*1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルに則った形式のパケットが受信されているとは限りません。 |
[表1]に示した宛先ポート番号の各パケット観測数の推移を[図1]に示します。
クリックすると拡大されます
445/TCP宛のパケットが、12月3日頃に急増しました。また、1433/TCP宛のパケットが、12月10日頃に急増しています。本現象については、2.1節 「Windows環境とみられる送信元からのパケット数の増加」で述べます。
本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | ロシア | 2 |
2 | 米国 | 3 |
3 | 中国 | 1 |
4 | ウクライナ | 5 |
5 | オランダ | 4 |
[表2]の送信元地域からのパケット観測数の推移を[図2]に示します。
クリックすると拡大されます
このように送信元地域に着目すると、前四半期の8月20日よりウクライナからのパケット数が増加した状態が今期も続いています。これに対して、中国からのパケットが他の地域からのものよりも多く観測された時期はごく短期だけにとどまり、順位が第3位まで後退しました。
2. 注目された現象
2.1. Windows環境とみられる送信元からのパケット2018年12月3日頃より、Port445/TCP宛のパケットが多い状態が続いています[図3]。また、12月10日頃からは、Port1433/TCP宛のパケットも多くなっています[図4]。パケットには送信元IPアドレスが国内のものだけでなく国外のものもあり、いずれもパケット数が以前と比べて多くなっています。また、この現象は日本に届いたパケットだけでなくほかの地域に届いたパケットでも観測されています。
クリックすると拡大されます
クリックすると拡大されます
調査したところ、この2つのポートへのパケットの送信元となっているホストの多くでIISやSMBが動作しておりWindows環境であろうと推測されました。Windowsのバージョンは2003のものもありましたが、2008や2012等の新しいOSも存在し、SMBのポートは空いているものも閉じられているものも見られ、共通した特徴は確認できませんでした。これらのホストが感染してパケットを送信しているマルウエアが何なのかについてはまだ分かっていません。
JPCERT/CCでは、これらのパケットのうち、日本国内から発信され発信元が企業等とみられるものについて、当該IPアドレスの管理者全てに連絡を行って本件に関する情報を収集しています。
2018年12月9日頃より、日本国内を送信元としたPort37215/TCP宛のパケットが増加(*2)しています[図5]。同様のパケットは、海外のセンサーでも広く観測されています。パケットの送信元について調査を行ったところ、Realtek社製のSDKの脆弱性 (CVE-2014-8361)(*3)の影響を受けた国内ベンダー製のブロードバンド・ルータであることが確認できました。それらのルータは複数のISP等に割り当てられたIPアドレスを使用していました。脆弱性の対策が放置されていて、Mirai亜種に感染したルータと推測されます。マルウエアの影響を受けている脆弱なルータの利用者に対策をおこなっていただくため、順次当該IPアドレスの管理者にJPCERT/CCから連絡を行っています。
クリックすると拡大されます
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
(2) | NICTER 解析チーム(試験運用中) |
https://twitter.com/nicter_jp/status/1072774530202972160 |
|
(3) | 【ハニーポットで気になった】52869/tcp および8081/tcp宛を狙った攻撃ってどんなもの? |
https://sec-chick.hatenablog.com/entry/2019/01/05/145542 |