定点観測友の会という名のコミュニティー活動について

JPCERT/CCでは、国内の定点観測事業を行っている組織を対象に、観測動向などの情報共有を目的としたメーリングリストの運用や会議を開催しています。JPCERT/CCでは、この活動を定点観測友の会と呼んでいます。この活動は、JPCERT/CCのWebサイトで少し紹介していましたが、実際にはどんなことをやっているのかまで触れる機会がほとんどなかったので[1]、「秘密結社」っぽさが残されている活動の一つと言ったところでしょうか。このブログでは、活動の一端を紹介したいと思います。

定点観測友の会の意義

定点観測友の会では、JPCERT/CCのインターネット定点観測システムTSUBAMEの観測データだけでなく、参加組織それぞれの定点観測の結果をもとに、観測データの傾向や背景について議論を行っています。こうして得た知見は、例えば、「Mirai 亜種の感染活動に関する注意喚起」などの呼びかけなど組織の活動に結びついています。 ブログ「TSUBAMEレポート Overflow(2021年4~6月)」でも触れたように、観測点でも微妙に観測の傾向に差があることがあります。定点観測友の会では、自分たちが観測した事象と同じ傾向が、他の組織の複数のデータでみられるかを確認したり、他者の観測の視点や指摘を参考にして再度分析を行ったりすることで、インターネットで今起こっているスキャンの状況や、発生原因の推測などを協力して実施しています。JPCERT/CCにて、定点観測友の会での議論を「インターネット定点観測レポート」などで直接触れてこなかったのは、参加者それぞれの観測データに基づく分析と、TSUBAMEでのJPCERT/CCの視点を切り分けてきたためです。 一方で、組織の枠を超えた定点観測友の会での議論とTSUBAMEの視点を総合的に判断することは、「インターネットで今起こっていることは何か?」を分析する上で重要なポイントになると考えています。

第72回定点観測友の会の開催について

定点観測友の会は、2004年から各四半期に一度のペースで定期的な会議を持ち、それぞれの観測事象や分析情報を持ち寄り議論しています。2021年8月17日に開催した第72回定点観測友の会の議題を紹介します。

  • 2021年4月から7月の観測動向について
  • 9530/TCP宛のパケットの観測動向について[2]
  • 特定製品の脆弱性が使用するポート宛のパケットの増加について[3]
  • 1433/TCPもしくは1433/TCP&445/TCP宛のパケットを送信するホストの増加について
  • 2375/TCP,2376/TCPのパケットの観測動向について
  • CVE-2021-35464を対象としたとみられるスキャンについて[4]
  • 92.63.197.0/24からのパケットの観測動向について[5]
  • 212.133.164.0/24からのパケットの観測動向について[6]
  • Fortinet Targeted for Unpatched SSL VPN Discovery Activity[7]

参加組織(順不同)
警察庁、国立研究開発法人情報通信研究機構(NICT)、パナソニック株式会社、株式会社インターネットイニシアティブ(IIJ)、横浜国立大学、JPCERT/CC

参加者それぞれが今後の研究活動として注目している視点も含まれているため、詳細を説明することはできませんが、今回は、Mirai亜種の感染に関するテーマ、特定製品の脆弱性情報が公開されてから間もなく発生したスキャン、海外のスキャンプロバイダーの動向などの議論に及びました。さまざまな手法で集められたデータをもとに、上述の議題について、観測システムで共通する結果となったもの、異なった結果となったもの、特定製品の脆弱性や地域を発とする探索活動や攻撃活動についての意見交換を約1時間半行いました。 1433/TCPや445/TCPは、「インターネット定点観測レポート」でもよく取り上げる話題ですが、それ以外の最近のスキャンの中では、Docker-API(2375/TCP、2376/TCP)に対するスキャンの動向も気になるところです。特定の地域から送信されたとみられるパケットを非常に多く観測していますが、それ以外の地域が送信したパケットも徐々に増加しています。パケットが送信された理由が不明であるなど、現時点では全容が見えていないため、JPCERT/CCからの注意喚起の公開には至っていませんが、2375/TCP、2376/TCPだけに閉じた問題ではないのではないかと考えられます。定点観測友の会では、そうした分析途中の観点も出し合いながら傾向や背景を複数の視点から議論しています。 また最近では、TSUBAMEのようなパッシブセンサーだけでなく、ハニーポットや実機を使ったデータ収集など、多様な手法で集められたデータも、定点観測で得たデータとして議題にのぼることが増えています。こうした観測手法の場合、具体的なペイロードなどの情報も収集できることから、スキャンの動向だけでなく、攻撃活動についても議論ができます。今回開催した第72回定点観測友の会では、OpenAMの脆弱性 (CVE-2021-35464) を対象としたとみられるスキャンについて、分析の状況を共有しました。この脆弱性は、ForgeRock社からは、2021年6月にアドバイザリ[8]が公開されており、オーストラリアでは当該脆弱性を悪用される攻撃が確認されていることから、定点観測での分析という視点からも注目しています。

おわりに

ハニーポットでの分析などの記事を目にする機会も増えていますが、現実的に、定点観測を続けていくことは根気と体力が必要な地味な作業です。それもあって、継続的に定点観測事業やそれに類する活動を展開している方々は世界中でもそれほど多くはいないのではないかと思います。このブログが国内で定点観測事業に触れている方々に届き、定点観測に基づいた議論の活性化や、定点観測友の会やTSUBAMEの活動の輪が広がっていくことを期待しています。

サイバーメトリクスグループ 鹿野 恵祐

参考情報

[1] 定点観測のスペシャリストたちが観測システムやDoS攻撃の現状を語る
https://internet.watch.impress.co.jp/cda/event/2004/12/01/5617.html

[2] JPCERT/CC
9530/TCP宛のパケットの観測動向についてAM Security Advisory
https://www.jpcert.or.jp/tsubame/report/report202104-06.html#2.1

[3] Network Security Research Lab at 360
Mirai_ptea Botnet is Exploiting Undisclosed KGUARD DVR Vulnerability
https://blog.netlab.360.com/mirai_ptea-botnet-is-exploiting-undisclosed-kguard-dvr-vulnerability-en/

[4] Twitter
Bad Packets
https://twitter.com/bad_packets/status/1414722490346004483

[5] Twitter
NICTER 解析チーム
https://twitter.com/nicter_jp/status/1412005020824866817

[6] Twitter
「NICTER 解析チーム
https://twitter.com/nicter_jp/status/1391990239921467396

[7] SANS ISC InfoSec Forums
Fortinet Targeted for Unpatched SSL VPN Discovery Activity
https://isc.sans.edu/forums/diary/Fortinet+Targeted+for+Unpatched+SSL+VPN+Discovery+Activity/27520/

[8] ForgeRock
AM Security Advisory #202104
https://backstage.forgerock.com/knowledge/kb/article/a47894244

≪ 前へ
トップに戻る