TSUBAMEレポート Overflow(2022年4~6月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。今回は、TSUBAME(インターネット定点観測システム)における2022年4~6月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。
国内のMirai型パケットの推移について
日本が送信元地域となっているMirai型の特徴をもつパケット数のポート別TOP5は、23/TCP、37215/TCP、2323/TCP、22/TCP、5501/TCPでした。この順位を元に、日本を送信元としたポート別TOP5の推移のグラフを作ったものが図1です。図2はMirai型の制限をかけたパケット数のポート別TOP5の推移です。
 |
 |
| 図1:国内送信元パケットのTOP5(ALL) | 図2:国内送信元パケットのTOP5(Mirai型) |
図1と図2を比較するとほぼ同様の推移を示すグラフに見えますが、6月16日にPort22/TCPの急激な増加が見られない、Por2323/TCPのグラフの形が異なる等の違いがあります。図1と図2の期間中の合計パケット数の違いを表1に記します。
表1:日本を送信元地域としたMirai型パケット数と制限をかけなかったパケット数の比較
| 23/TCP | 37215/TCP | 2323/TCP | 22/TCP | 5501/TCP | |
|---|---|---|---|---|---|
| ALL | 54555 | 6554 | 3180 | 5351 | 1285 |
| Mirai型 | 51468 | 6551 | 2679 | 1906 | 1285 |
| 割合 | 94.34% | 99.97% | 84.25% | 35.75% | 100.00% |
23/TCP、2323/TCP、37215/TCPはMirai型のパケットが8割以上一致し、5501/TCPは100%一致しました。しかしPort22/TCPは4割弱と他の4つのポートとは割合が大きく異なります。これはMirai型の特徴をもつPort22/TCP宛のパケットは6月25日以降観測するようになったため乖離となりました。特定のポートに対するパケットが増加する動きは5501/TCPでも見られました。 上述のようにポート番号を変えて様々なプロトコルを対象する動きがこの四半期に見られました。
国内外の観測動向の比較
図3、4は国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーの方が多くのパケットが観測されました。国内、海外のセンサーでともにどの月も1年前の同月より多くのパケットが観測されています。
 |
 |
| 図3:国内センサーの平均パケット数 | 図4:海外センサーの平均パケット数 |
センサーごとの観測動向の比較
各センサーにはそれぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表1に国内外のセンサーごとに届いたパケットTOP10をまとめました。23/TCPが多くのセンサーでトップとなり、6379/TCPも多くのセンサーでTOP10に入っています。そのほか、AndroidのADBが使用する5555/TCPに対するパケットはどのセンサーでも観測されました。国内外では観測パケット数の違いにより順位は異なりますが、組み合わせが大きく異なる結果は見られませんでした。つまり、これらのプロトコルは、広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表2:国内外センサーごとのパケットTOP10の比較
| 1番目 | 2番目 | 3番目 | 4番目 | 5番目 | 6番目 | 7番目 | 8番目 | 9番目 | 10番目 | |
| 国内センサー1 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 445/TCP | 5555/TCP | 81/TCP | 3389/TCP | 443/TCP | 1433/TCP |
| 国内センサー2 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 5555/TCP | 445/TCP | ICMP | 443/TCP | 81/TCP | 3389/TCP |
| 国内センサー3 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 445/TCP | 5555/TCP | 37215/TCP | 3389/TCP | 443/TCP | 81/TCP |
| 海外センサー1 | 23/TCP | 5555/TCP | 22/TCP | 80/TCP | 445/TCP | ICMP | 3389/TCP | 443/TCP | 5060/UDP | 81/TCP |
| 海外センサー2 | 23/TCP | 6379/TCP | ICMP | 22/TCP | 445/TCP | 7547/TCP | 8291/UDP | 5555/TCP | 80/TCP | 5060/UDP |
| 海外センサー3 | 445/TCP | 23/TCP | 139/TCP | ICMP | 6379/TCP | 22/TCP | 5555/TCP | 80/TCP | 443/TCP | 5060/UDP |
おわりに
複数の地点で観測を行うことで変動が特定のネットワークだけで起きているのかどうかを判断できるようになります。今期は、特別な号外による注意喚起等の情報発信には至っていませんが、取り上げた防犯用カメラ映像記録装置についてMirai型パケットの送信元となっているため注意が必要です。 今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームよりお送りください。最後までお読みいただきありがとうございました。
サイバーメトリクスグループ 鹿野 恵祐
