1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点からの多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し、観測網に参加してもらう活動を行っています。
各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRTなどに情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、TSUBAME(インターネット定点観測システム)で本四半期に観測されたパケットを中心に分析した結果について述べます。
本四半期に国内で観測されたパケットの宛先ポート番号をパケットが多かった順に並べた時のトップ5は[表1]に示すとおりでした。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 6379/TCP(redis) | 1 |
2 | 23/TCP(telnet) | 2 |
3 | 123/UDP(ntp) | 6 |
4 | 22/TCP(ssh) | 3 |
5 | 445/TCP(microsoft-ds) | 4 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。 |
[表1]に示した各宛先ポート番号を持つパケット観測数の推移を[図1]に示します。
最も多く観測されたパケットは、6379/TCP(redis)宛の通信でした。6379/TCP宛のパケットは、当該期間では、緩やかに減少しているように見え、期初と期末で比較すると約20%減少していました。2番目に多かった23/TCPは、短期間での増減が複数回発生していました。この背景には、IoT機器等をマルウェアに感染させようとする攻撃が何度か行われ、その度に23/TCP宛のパケットの観測数が増加したのではないかと考えています。
次に、本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 米国 | 1 |
2 | 英国 | 3 |
3 | 中国 | 4 |
4 | ロシア | 3 |
5 | ブルガリア | 6 |
[表2]の送信元地域からのパケット観測数の推移を[図2]に示します。
英国からのパケットについて3月中旬に急激な増加が数回観測されました。RECYBER PROJECT NETBLOCKを送信元としたパケットで短時間に多数のポート宛のパケットを観測しました。シンガポールからのパケットは減少し、ブルガリアと順位が入れ替わりました。
2. 注目された現象
2.1. ウクライナを送信元地域とした跳ね返りパケット数の増加
2月中旬頃からウクライナを送信元地域としたTCPパケットであって、DDoS攻撃を受けた際にみられるSYNとACKフラグがセットされたものを観測しました。(図3)
TSUBAMEになりすまして、すなわちTSUBAMEのセンサーのIPアドレスを送信元アドレスに設定して、攻撃対象とするサーバーにSYNフラグをセットしたパケットが送られていて、攻撃対象のサーバーが応答としてSYN、ACKフラグをセットして送り返しているパケット(以下、跳ね返りパケット)であると推測しています。こうした跳ね返りパケットは、DDoS攻撃の手法の一つであるSyn flood攻撃に際し観測されます。
DDoS攻撃を受けているとのコメントが2月15日にSNS上(2)でウクライナから発せられています。2月15日頃に観測された跳ね返りパケットの送信元アドレスの中に、ウクライナでWebサーバーとして利用されているノードのIPアドレスが確認できました。また、攻撃のターゲットとなっていたPort番号は80/TCPと443/TCPでした。
国内外のセキュリティベンダーの情報(3)では、複数の手法のDDoS攻撃も行われているとされており、その一部の余波である跳ね返りパケットがTSUBAMEで観測されたのであろうと考えています。
こうした跳ね返りパケットを2月15日以後も継続して観測しており、ウクライナを対象としたDDoS攻撃が継続して行われていると思われます。外部データから調査できたものについて、主な攻撃対象を表3に記します。
JPCERT/CCでは、ウクライナのCERT-UAに対し観測動向に関する情報を提供しました。
2.2. カザフスタンを送信元地域としたパケット数の一時的な減少について
TSUBAMEセンサーに届くパケットは、送信元の状況だけでなく、パケットが通過する経路の状況の変化の影響も受けます。つまり、送信元の状況に大きな変化がなくとも、例えばパケットの通信経路が遮断ないし不安定になれば、観測されるパケット数が減少します。
2022年1月5日から10日にかけて、送信元地域がカザフスタン(KZ)となっているパケットの観測数が減少しました。(図4)
カザフスタンでは1月1日に発表された液化石油ガスの価格に対してデモ活動が行われ、その後全土に拡大していったとの報道(4)がありました。1月5日には大統領が非常事態宣言を全土に拡大、集団安全保障条約機構(CTSO)に治安維持部隊の出動を要請するといった事象がありました。
サイバーセキュリティとインターネットのガバナンスの状況を監視している非政府組織のNetBlocks では、インターネットが1月5日から1月10日にかけて全土で遮断された(5) (6)と推測しています。
JPCERT/CCがインターネットリスクの可視化を目的に行っている実証実験プロジェクト Mejiroでは、インターネット上のノードがインターネットからアクセス可能な状態になっているものについて、Mejiro指標として公開しています。Mejiroではクローラが収集したデータUTCで集計して使用していますが、1月5日から10日にかけて、オープンリゾルバーの観測数などが減少(図5、図6)しています。
TSUBAMEおよびMejiroによる観測データでは一時的な変化であったことを踏まえると、カザフスタン内のボットネットの活動や、オープンリゾルバーの状況の変化というよりも、通信制限による影響の一端ではないかと推測しています。
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
(2) | Defence of Ukraine |
https://twitter.com/DefenceU/status/1493628291844083723 |
|
(3) | 360 Netlab |
https://twitter.com/360Netlab/status/1493797519725367302 |
|
(4) | 燃料価格に対する抗議デモを機に、マミン首相が辞職 |
https://www.jetro.go.jp/biznews/2022/01/d97c27fec4aaf775.html |
|
(5) | NetBlocks |
https://twitter.com/netblocks/status/1480713969295933443 |
|
(6) | Kazakhstan’s Internet Shutdown Offers Lessons for Russia-Ukraine Crisis |
https://www.nytimes.com/2022/02/18/technology/kazakhstan-internet-russia-ukraine.html |