インターネットスキャンデータから見るウクライナ
JPCERT/CC サイバーメトリクスグループは、インターネット上で発生しているインシデントなどサイバーセキュリティ上の変化をデータを通じて分析し、データに基づいたサイバーセキュリティ対策を呼びかけるなどの活動を実施しています。例えば、定点観測システムTSUBAMEや、インターネットリスク可視化サービスMejiroなどを提供しています。今回は、さまざまな形で報じられているウクライナの情勢を、インターネットからはどう見えるのかを、Shodan Trendsのデータを用いて確認してみました。
Shodanとは
Shodan [1] は、インターネットに対してスキャンを行い、その応答からどこにどのような機器がインターネットからアクセスできる状態で接続されているかを検索するためのサービスです。さまざまな検索クエリによって機器の検索が可能で、よりコネクティッドな国はどこか、どのバージョンのソフトウェアが多く使われているか、など多様な情報を得ることができます。
検索時点の情報を調べることが、検索エンジンとしてのShodanの基本的な使い方ではありますが、それとは別に、Shodan Trends [2] というサービスも提供されています。Shodan Trendsでは、蓄積されたスキャンデータによってさまざまな集計軸でのスキャン応答件数の時系列推移を確認することができます。現在は、2017年6月以降の月次の集計データが提供されています。
Shodan Trendsでみるウクライナ
Shodan Trendsからは、ASN別、都市別、組織別、ポート番号別、プロダクト別などさまざまな切り口で時系列データが得られますので、それをもとにウクライナではどのような変化が起きているのかを確認してみました。以下のグラフは、それぞれ5つの切り口で得た時系列データを集計し、合計数の推移を比較したものです。ウクライナに限ったことではありませんが、Shodanでの観測やその後のデータ処理の違いなどからか、切り口によって振る舞いは異なることがあります。JPCERT/CCが別に提供しているインターネット可視化サービス Mejiro [3] でも同様の値の変化はあります。
上のグラフを見ると、都市別や組織別のデータは2021年3月を境に大きなギャップが生じています。このギャップの理由はよくわかりませんが、プロダクト別データを除いて傾向としては概ね似たような結果にはなっています。プロダクト別のデータは件数が極端に少ないですが、これはスキャンの応答からプロダクトを特定できているものが少ないことが要因と考えられます。ここでは、比較的安定して推移しているポート番号別のデータを用いて、ウクライナ全体の傾向を見てみます。
ウクライナ全体としてはインターネットから到達可能なデバイスの数は緩やかに減少が続いているように見えます。この現象はおそらくウクライナでのインターネットへ接続する機器やサーバーに対する注意や、接続される製品がアップデートされるなど対策が浸透しつつあるのだろうと思われます。例えば、プロダクト別の時系列データのうち、ブロードバンドルーターと思われる機器を取り出してみると、同様の減少トレンドを確認することができます。セキュリティ対策の甘い古いルーター製品が、新しい製品に置き換わることでこうした傾向が出てきているのだろうと考えられます。
ここで、ロシアによるウクライナ侵攻が開始した2022/02/24前後で、ウクライナのデータにどのような変化が起きているのかについて注目してみます。今回は2021年12月以前のデータを用いて2022年のデータを予測した場合の予測区間をあわせて表示しています。予測にはFacebookの提供するProphet [4] を用いました。
2017年からのウクライナにおける大きなトレンドとしてはインターネットからアクセス可能なデバイスは緩やかな減少傾向にあるということが言えそうですが、直近の値はそのトレンドからは外れた急激な減少を示しているようにうかがえます。以下の表は2021年10月以降の件数と前月からの伸びを示したものですが、2020年以降は比較的安定した推移をしていたものが2月以降連続して減少を続けていることがわかります。報道等で伝えられてきた内容から想像すると、デバイスやネットワークインフラが物理的に切断されるなどして、インターネットからのアクセシビリティが低下したのではないかと考えられます。
プロダクト別およびウクライナの州別での変化についてAppendix.AとAppendix.Bにまとめておきます。
まとめ
このように、Shodan Trendsのデータを用いることで、スキャンに対する応答件数からインターネット上の状況を見ることができます。
今回はウクライナのデータにおいて、次の傾向が見えてきました。
- ウクライナにおけるインターネットから到達可能なデバイス数は長期的に減少トレンドにあり、その要因の一つとして古い製品の新しい製品への置き換わりが進んでいることが考えられること
- 2022年3月からこれまでの減少トレンドを大きく外れる急減が見られること。またAppendixで見られるように侵攻の激しい地域で特にその傾向が顕著に出ていること
自然災害による影響や、インターネットへの接続制限などでインターネットからのアクセシビリティが変化し、Shodanなどで時系列変化が見られることがこれまでもあります。サイバーセキュリティと直接関係する事象ではありますが、ウクライナの状況を含め、地域での状況の変化がShodanなどのデータを使ってうかがい知ることができるのは興味深いところです。
これまでもこうしたスキャンデータなどを使った分析はいくつかありました。例えば、スキャンの増減や、脆弱性の残置などを分析した例があります。データをみつめることで、インターネット上でどのようなことが起きているのかを客観的に把握することができます。JPCERT/CCでは、今後もさまざまなデータの活用可能性を検討していきたいと考えています。サイバーセキュリティの文脈でのデータ分析にご興味のある方がいらっしゃいましたら、ぜひ一度ご連絡いただければと思います。
Appendix
Appendix.A プロダクト別データの振る舞い
ウクライナでの大きなトレンドとしてインターネットからアクセス可能なデバイスは緩やかな減少傾向にあることを説明しましたが、どのような機器が減少しているのかを示しておきます。
以下の表は、2021年12月時点でのプロダクト別のスキャン応答件数を、3年前の値と比較した減少率の大きい順に20件示したものです。2018年12月時点と2021年12月時点を比較するとスキャン応答がなくなっているプロダクトも42件ありました。古い製品やサーバーがアップデートされていっているのだろうと思われます。
逆に3年間の間で増加したプロダクトは10件ありました。3年前の値と比較した増加率の大きい順示しておきます。ウクライナでのインターネット利用やサービス、接続するデバイスの変化が見られました。
以下は、2022年4月時点において、2021年12月と比較した際に減少率の大きいプロダクトのTOP20です(2022年4月に件数がゼロでないもの)。特定用途のネットワークサービス(Socks)やブロードバンドルーター、DVRと広く影響が出ていることがわかります。
2021年12月に存在したが、2022年4月に件数がゼロになっているプロダクトは以下のとおりです。WiFiルーターなどの接続性が失われていました。
Appendix.B ウクライナ国内(州)での変化
地域別のデータを見ると、より侵攻の影響が見えてきます。
Shodan Trendsから得られた都市別データでは、都市名の表記ゆれや誤表記があるためそのままでは使えないのですが、ここではそれらを修正の上、州別(24の州、1つの自治共和国、2つの特別市)に集計した結果を使用しました。ただし、データからどの州に属するかを特定できないものについては不明なデータとして取り除いています。
以下のグラフは、州別に集計した結果の時系列推移を表したものです。Kyiv市の値が他の州と比較しかなり多く、デバイス数の多さを物語っています。利用が都市部に集中しているのでしょう。
なお、都市別データを集計した総数を見たときと同様、2021年3月に大きなギャップが生じていますが、その多くはKyiv市での増加が原因のようです。
以下では、スキャン応答数の急減が見られた2022年3月における前月からの伸び率を、州別に地図上にプロットしています。
州別に地図上に表示するために、特別市であるKyiv市およびSevastopol市はそれぞれKyiv州およびCrimea自治共和国に合算した値を用いました。
この地図を見ると、侵攻の激しい東部、北部を中心に応答数が減少しており、やはり3月の急減の要因は侵攻の影響である可能性が大きいと考えられそうです。
(※中央付近のKirovohrad Oblastで極端に増加していますが、4月には元の水準に戻っており、要因は不明ですが一時的なものと考えられます)
参考情報
[1]: Shodan: https://www.shodan.io/
[2]: Shodan Trends: https://trends.shodan.io/
[3]: インターネット可視化サービス Mejiro: https://www.jpcert.or.jp/mejiro/
[4]: Prophet: https://facebook.github.io/prophet/
