1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点からの多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し、観測網に参加してもらう活動を行っています。
各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRTなどに情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、TSUBAME(インターネット定点観測システム)で本四半期に観測されたパケットを中心に分析した結果について述べます。
本四半期に国内で観測されたパケットの宛先ポート番号をパケットが多かった順に並べた時のトップ5は[表1]に示すとおりでした。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP(telnet) | 1 |
2 | 6379/TCP(redis) | 2 |
3 | 22/TCP(ssh) | 3 |
4 | 80/TCP(http) | 4 |
5 | 5555/TCP | 8 |
※ポート番号とサービスの対応の詳細は、IANAの文書(1)を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルにのっとった形式のパケットが受信されているとは限りません。 |
[表1]に示した各宛先ポート番号を持つパケット観測数の推移を[図1]に示します。
最も多く観測されたパケットは、23/TCP(telnet)宛で期間中に増減を繰り返していました。6379/TCP宛のパケットは本四半期を通じて微増し続けました。
次に、本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 米国 | 1 |
2 | ロシア | 3 |
3 | 英国 | 2 |
4 | 中国 | 4 |
5 | ブルガリア | 6 |
[表2]に掲げた送信元地域からのパケット観測数の推移を[図2]に示します。
ロシアからのパケットが8月初めより増加し中国と順位が入れ替わりました。8月7日頃から韓国からのパケットが減少しブルガリアと順位が入れ替わったため韓国は6番目になり、変動の少なかったブルガリアが5番目になりました。
2. 注目された現象
2.1. 跳ね返りパケットの観測状況について
DDoS攻撃を受けた際にみられるSYNとACKフラグがセットされたものや、ACKとRSTフラグ等がセットされたパケット(以下、跳ね返りパケット)の観測状況を[図3]に示します。
こうした跳ね返りパケットは、DDoS攻撃の手法の一つであるSyn flood攻撃に際し観測されます。このタイプのDDoS攻撃では、SYNフラグをセットし、送信元アドレスをランダムに設定した攻撃用パケットが攻撃対象のサーバーに送られます。当該サーバーはSYN、ACKフラグをセットした応答パケットを送り返しますが、ランダムに設定された攻撃用パケット中の送信元の中にたまたまTSUMANEセンサーのIPアドレスに一致したものがあったために、こうした応答パケットが観測されたと推測しています。
過去の定点観測レポートでは、「ウクライナを送信元地域とした跳ね返りパケット数の増加」として取り上げましたが、本四半期も特徴的な事象がありましたので、紹介したいと思います。
- 日本からの9月6日頃の跳ね返りパケットについて
- 台湾からの8月上旬頃の跳ね返りパケットについて
期間中の日本を送信元とした跳ね返りパケットの観測状況を表し、送信元組織が推定できたものが[表3]です。9月6日頃に跳ね返りパケットの送信元IPアドレス数が一時的に増加しています。
送信元IPアドレス * | |||||||||||
クラウド事業者A | 〇 | ||||||||||
政府系サイトA | 〇 | ||||||||||
ポータルサイトA | 〇 | ||||||||||
ポータルサイトB | 〇 | ||||||||||
ポータルサイトC | 〇 | ||||||||||
ポータルサイトD | 〇 | ||||||||||
ポータルサイトE | 〇 | ||||||||||
ポータルサイトF | 〇 | ||||||||||
ポータルサイトG | 〇 | ||||||||||
総合ショッピングモールA | 〇 | ||||||||||
動画配信サービスA | 〇 | 〇 | |||||||||
電力会社A | 〇 | ||||||||||
インターネットメディア事業A | 〇 | ||||||||||
インターネットメディア事業B | 〇 | ||||||||||
2022-09-01 | 2022-09-02 | 2022-09-03 | 2022-09-04 | 2022-09-05 | 2022-09-06 | 2022-09-07 | 2022-09-08 | 2022-09-09 | 2022-09-10 |
これらのパケットの送信元には、大手ECサイト、大手ポータルサイト、インターネットメディアサイト、動画サービスサイト、重要インフラ事業者のサイト、政府系サイト等が含まれていました。ほぼすべてパケットの送信元ポート番号は443/TCPとなっておりHTTPSが使用するポート宛のsyn flood 攻撃が行われていたと考えられます。
同様のパケットは8月初頭に台湾で使用されているIPアドレスからも受信しました。期間中の日本を送信元とした跳ね返りパケットの観測状況を表し、送信元組織が推定できたものが[表 4]です。
送信元IPアドレス * | |||||||||||
CDN(政府・金融)A | 〇 | ||||||||||
CDN(政府・金融)B | 〇 | ||||||||||
通信事業者A | 〇 | ||||||||||
ECサイトA | 〇 | ||||||||||
政府系サイトA | 〇 | ||||||||||
CDN(政府・金融)C | 〇 | ||||||||||
セキュリティベンダーA | 〇 | ||||||||||
金融(銀行)A | 〇 | ||||||||||
ECサイトB | 〇 | ||||||||||
金融(保険)A | 〇 | ||||||||||
情報通信A | 〇 | ||||||||||
電力会社A | 〇 | ||||||||||
金融(銀行)B | 〇 | ||||||||||
金融(銀行)C | 〇 | ||||||||||
金融(銀行)D | 〇 | ||||||||||
金融(銀行)E | 〇 | ||||||||||
金融(銀行)F | 〇 | ||||||||||
金融(銀行)G | 〇 | ||||||||||
2022-08-01 | 2022-08-02 | 2022-08-03 | 2022-08-04 | 2022-08-05 | 2022-08-06 | 2022-08-07 | 2022-08-08 | 2022-08-09 | 2022-08-10 |
送信元には、複数の金融機関や生命保険会社、CDNを使用している政府系サイトが含まれていました。送信元ポート番号は443/TCPとなっており、同様にHTTPSが使用するポート宛のsyn flood 攻撃が行われていたと考えられます。
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |