JPCERT/CC Eyes

はじめに

このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。今回は、TSUBAME（インターネット定点観測システム）における2021年4～6月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。

国内外の観測動向の比較

図1、2は国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーの方が多くのパケットが観測されました。国内のセンサーはどの月も1年前の同月より多くのパケットが観測されています。2021年5月に関してはロシアの少数のIPアドレスを送信元としたパケットが国内のセンサーで約2週間観測し続けたため他の月と比較して多くなっています。このロシアの送信元については海外のセンサーでは一切観測されていません。

図1：国内センサーの平均パケット数	図2：海外センサーの平均パケット数

センサーごとの観測動向の比較

各センサーにはそれぞれグローバルIPアドレスが1つ割り当てられていますが、観測状況に違いがあるか表1で国内外のセンサーごとに届いたパケットTOP10をまとめました。国内の一部のセンサーでは、通常のサービスに使用しないポート番号に対するパケットを多く受信していました。通常のサービスで使用するポート番号へのパケット受信状況は、国内センサー間で比較してもパケット数の差は約10%となっており、大きな傾向の違いはありませんでした。海外のセンサーではすべてのセンサーでAndroid ADBで用いる5555/TcpやMicrosoft社のSQLServerで用いる1433/Tcpが含まれており、国内外では傾向が異なる結果となりました。

表1：国内外センサーごとのパケットTOP10の比較

その他

2021年6月15日から18日にかけてJICAによるCSIRT研修を行いました。期間中、ベトナムのAISに対して、TSUBAMEのデータを使用しJPCERT/CCが行っている日々の分析方法についてトレーニングを行いました。

おわりに

いかがでしたか。本記事は初号ということもあり、四半期ごとのレポートでは紹介していない海外センサーとの比較や傾向の違いについてご紹介しました。今後もレポート公開に合わせて定期的な発行を予定しています。特異な変化などがあった際は号外も出したいと思います。
皆さまからのご意見、ご感想も募集しております。掘り下げてほしい項目や、紹介してほしい内容などがございましたら、お問い合わせフォームよりお送りください。最後までお読みいただきありがとうございました。

サイバーメトリクスグループ 鹿野 恵祐