1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し観測網に参加してもらう活動を行っています。各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRT等に情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、国内に設置されたセンサーで本四半期に観測されたパケットを中心に分析した結果について述べます。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 445/TCP (microsoft-ds) | 2 |
3 | 52869/TCP | 6 |
4 | 1433/TCP(ms-sql) | 3 |
5 | 22/TCP (ssh) | 5 |
※ | ポート番号とサービスの対応の詳細は、IANAの文書(*1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルに則った形式のパケットが受信されているとは限りません。 |
[表1]に示した各宛先ポート番号をもつパケット観測数の推移を[図1]に示します。
クリックすると拡大されます
445/TCP宛のパケットが、2月10日頃から増加しています。また、1433/TCP宛のパケットは、2月15日頃から急減しました。52869/TCP宛のパケットは、順位が3位に上がりました。送信元の地域ごとの内訳を調べると、特定の3地域に著しく偏っていました。本現象については、2.1節 「Windows環境とみられる送信元からのパケット数の増加」で述べます。本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | ロシア | 1 |
2 | 米国 | 2 |
3 | 中国 | 3 |
4 | オランダ | 5 |
5 | ウクライナ | 4 |
[表2]の送信元地域からのパケット観測数の推移を[図2]に示します。
クリックすると拡大されます
送信元地域では、ウクライナからのパケットが1月19日頃より減少し、オランダと順位が入れ替わりました、その地の地域では一時的な増減はありますが、順位に変化はありません。
2. 注目された現象
2.1. 52869/TCP宛のパケットの動向2019年1月から52869/TCP宛のパケットを観測(*2)しています。主な送信元はアメリカ、イタリア、オランダです、地域別の積み上げグラフを図3に示します。
クリックすると拡大されます
これらのパケットの背景には、Realtek社製SDK Miniigd サービスの既知の脆弱性(CVE-2014-8361) (*3)が関連していることが調査の結果わかっています。同SDKを使用して作られたルータは、脆弱性の影響を受けるためインターネット経由で攻撃を受ける可能性があります。日本国内にも当該脆弱性の影響を受ける機器がまだ数多く存在しています。この攻撃は、一旦感染させることに成功しても、その効果がルータの再起動で失われるため、攻撃を繰り返して再感染させているようで、そのために多くの攻撃パケットが観測されていると考えています。
また、1月下旬からは、日本国内のIPアドレスから23/TCP宛のパケットが増加(*4)しています。[図4]このパケットは、Mirai亜種がもつ特徴がみられます。
クリックすると拡大されます
送信元のIPアドレスの一部を調査したところ、国内ベンダー製のブロードバンド・ルータが送信元になっており、上述のSDKの脆弱性 (CVE-2014-8361) への対策済みファームウエアを使用していないことが確認できました。
JPCERT/CCでは、マルウエアに感染している脆弱なルータの利用者への対応として、順次当該IPアドレスの管理者を通じて連絡し、対策をお願いしています。
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
(2) | 平成31年1月期観測資料 |
https://www.npa.go.jp/cyberpolice/important/2019/201903282.html |
|
(3) | インターネット定点観測レポート(2017年 10~12月) |
http://www.jpcert.or.jp/tsubame/report/report201710-12.html#2.1 |
|
(4) | NICTER 解析チーム(試験運用中 |
https://twitter.com/nicter_jp/status/1102834623405416448 |