JPCERT/CC Eyes

はじめに

このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、TSUBAME（インターネット定点観測システム）における2023年4～6月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。

海外センサーと国内センサーの観測パケットの違いについて ～日本を送信元としたパケット編～

TSUBAMEシステムの更新に伴い、センサーの改訂も行いました。特に海外センサーの増強を進め、海外のホスティング事業者等にセンサーを設け、17の地域に展開をしています（2023年7月現在）。このブログでは、各地域のセンサーの観測状況にどれほどの違いがあるかに注目してみようと思います。 センサーを複数設置している地域について、日本を送信元地域としたパケットの観測状況を図1にまとめました。地域ごとに設置しているセンサー数の違いやセンサー毎のばらつきがあるため、観測したパケット数の最小値（MIN）、最大値（MAX）、平均値（AVG）を示しています。

図1：センサー観測地点ごとパケット数の比較（送信元地域＝日本）

なお、これらの送信元IPアドレスからのパケットは、国内に設置しているセンサーと、韓国に設置している一部のセンサーで観測していました。このため、日本のセンサーのAVGと韓国のセンサーのMAXの値が大きくなったと考えられます。 スキャンには様々な目的のものがあります。TSUBAMEの中の人の視点からは、普段からどのようなスキャンを受けているかを意識することも大切と思います。特に、スキャン元の活動を振り返ることで、「何が注目されているのか」を認識でき、それはネットワークの対策へのヒントに繋がることもあると思います。

国内外の観測動向の比較

図2は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。

図2：月ごとの国内外センサー平均パケット数の比較

センサーごとの観測動向の比較

各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表1に国内外のセンサーごとに届いたパケットTOP10をまとめました。センサー毎に順位に差はありますが、23/TCP、6379/TCP、22/TCP、80/TCP等はほぼ全てのセンサーで観測していました。これらのプロトコルは、広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。

表1：国内外センサーごとのパケットTOP10の比較

おわりに

複数の地点で観測を行うことで、変動が特定のネットワークだけで起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームよりお送りください。最後までお読みいただきありがとうございました。

サイバーメトリクスグループ 鹿野 恵祐