1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し観測網に参加してもらう活動を行っています。
各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRTなどに情報を提供し、状況の改善を依頼しています。また、国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、国内に設置されたセンサーで本四半期に観測されたパケットを中心に分析した結果について述べます。
本四半期に国内で観測されたパケットの宛先ポート番号をパケットが多かった順に並べるとトップ5は[表 1]に示すとおりでした。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 445/TCP (microsoft-ds) | 1 |
2 | 23/TCP (telnet) | 2 |
3 | 1433/TCP (ms-sql) | 3 |
4 | 22/TCP(ssh) | 4 |
5 | 80/TCP | 5 |
※ ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。 |
[表 1]に示した各宛先ポート番号を持つパケット観測数の推移を[図 1]に示します。
クリックすると拡大されます
宛先ポート番号ごとに観測されたパケット数の順位(トップ5)は、前四半期から変動がありませんでした。最も多く観測されたパケットは、445/TCP(microsoft-ds)宛の通信でした。本四半期を通じて一週間単位での周期的な増減を観測しています。
本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表 2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 米国 | 1 |
2 | ロシア | 2 |
3 | オランダ | 4 |
4 | 中国 | 3 |
5 | ドイツ | 5 |
[表 2]の送信元地域からのパケット観測数の推移を[図 2]に示します。
クリックすると拡大されます
本四半期に受信したパケットの送信元地域として、最も多く見られたのは米国でした。米国は10月30日頃よりパケット数が増加しました。中国を送信元地域としたパケットはゆるやかに減少しており、ドイツと順位が入れ替わりました。オランダは12月20日からパケットが大きく減少しました。12月20日以前はオランダが送信元であるとされていたパケットの送信元IPアドレスの大半が、12月20日以後にはオランダ以外の地域に割り当てられていることが確認できました。このような現象の妥当性や理由についてオランダのCSIRTに問い合わせるなどして調査中です。
2. 注目された現象
2.1. 送信元が日本となっているPort22/TCP宛のパケット数の増加本四半期をとおして、送信元が日本となっているPort22/TCP(ssh)宛のパケットを観測しています (図 3)。
クリックすると拡大されます
Port22/TCP宛のパケットの送信元自身もSSHを待ち受けていたケースが多くありました。Port22/TCP宛のパケットの送信元のIPアドレスの管理者に調査を依頼したところ、ホストが侵害を受けマルウェアに感染していたという返事をこれまで複数受け取っています。今回のパケットを送ってきた送信元が同様の侵害を受けている可能性も推測できます。本四半期に観測されたPort22/TCP宛のパケットの送信元の共通性を見つけ出すための試みとして、WHOISでの管理者に基づいて集計した結果(管理者名は匿名化)を(図 4)に示します。
クリックすると拡大されます
上位の3つの組織のうちISP A、ISP Bは動的IPアドレスを配布する方式でサービスを行っているISPです。Hosting Aはサーバーなどを構築する際に使用されることが多い固定IPアドレスを配布する方式でサービスを行っている事業者です。
観測されたパケットの送信元IPアドレスのうちHosting Aが保有する範囲のものをSHODANで検索して分析してみたところ、3割程度が共通する特徴を持つサーバーのものであることがわかりました。一方で、ISP AとISP Bから届いたパケットの送信元に関しては、そういった特徴がみられませんでした。この特徴を持つサーバーが何らかの方法で悪用されている可能性が考えられるため、さらに分析を進めました。そうしたところ、このサーバーは箱庭ゲームでマルチプレイする際に利用されており、さらに特徴を調べてみたところ、次の点がわかりました。
- SSHがパスワードによる認証で接続可能であり、ユーザーが安易なパスワード設定を行なっていた場合、侵入を許してしまう恐れが考えられる。なお、初期の登録ユーザーはrootのみである
- マルチプレイ用のゲームサービス以外のほとんどのサービスは立ち上がっていないが、UDP amp攻撃が可能なサービスが稼働しており、ファイアウォール等により外部からのアクセス制限がなされていない
2.2. 日本を送信元とした3389/TCP宛のパケットの観測事象について
本四半期中、3389/TCP(ms-wbt-server)宛のパケットの増減を観測しています(図 5)。
送信元はSHODAN等で調査すると、ほぼすべての送信元で3389/TCPを待ち受けていることを確認できました。パケットの送信元IPアドレスの管理者に連絡を取ったところ、サポートが終了したバージョンのWindows Serverが侵害を受け、管理者が認識していないツールが設置されていたとの報告を受けました。
サポートが終了したバージョンのOSで稼働していないか、セキュリティ更新プログラムが適用されているかなどを、今一度確認することをおすすめします。
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |