TSUBAMEレポート Overflow(2024年1~3月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、TSUBAME(インターネット定点観測システム)における2024年1~3月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。
2023年度の観測状況から見る日本国内の影響について
JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。今回は、2023年度の観測結果から日本国内に関連するインシデント例を振り返ってみたいと思います。
国内外に設置したセンサー宛に届いたパケットのうち最も多いものは23/TCP宛でした。23/TCP宛のパケットのうち、海外のIPアドレスから日本に設置したセンサー宛のパケットと、海外に設置したセンサーに日本から送信されたパケットではどちらも約7割がMirai型のパケットが占めていました。また、日本国内の送信元となっていたIPアドレスに対しWebブラウザーやSHODAN等を使用して情報を集めて機器の判別を行ったところ、わかったものとしては海外ベンダー製の監視カメラやDVRが多く、次いで同じく海外ベンダー製のNASやルーターなどが確認できました。
2023年に新しく発見された脆弱性を使用するなど攻撃の変化が見られ、23/TCP以外のポート番号へのパケットの組み合わせも確認しています。数は少ないものの、国内ベンダー製のDVRや、ベンダーが開発中の製品が攻撃の影響を受けたケースもありました。
弊センターにおける観測結果や調査結果をもとに、当該製品の開発者に対して、攻撃に使用されている脆弱性に関する情報を提供し、対策方法について議論を行うなどの活動を行いました。また、訪問して機器やログなどを拝見した上で、対策の検討を行うなどの活動を行いました。そのほか、送信元IPアドレスに関連する情報をWHOIS等を用いて調査を行い、国内企業等であることが判明したものについては、CSIRTなどのコミュニティー等のパスを使用して観測データの提供を行いました。結果、問題が解消されたことを確認しています。
自組織で新たに機器を設置する際は、インターネットからアクセスについてのルールがどうなっているのか確認し、設置後はポートスキャンなどを行い不要なポート等がオープンとなっていないか検査を行うことや、SHODAN等を利用して確認してみることをお勧めします。
TSUBAMEでは2024年度もこのような国内製品に関する攻撃情報や、不審なパケットの送信元が発生することがあると想定し、観測データの提供や問題解決の一助となる活動を行っていく予定です。
国内外の観測動向の比較
図1は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。
図1:月ごとの国内外センサー平均パケット数の比較 |
センサーごとの観測動向の比較
各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表2に国内外のセンサーごとに届いたパケットTOP10をまとめました。センサーごとに順位に差はありますが、23/TCP、6379/TCP、22/TCP、8080/TCP、80/TCP、ICMP等はほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表1:国内外センサーごとのパケットTOP10の比較
1番目 | 2番目 | 3番目 | 4番目 | 5番目 | 6番目 | 7番目 | 8番目 | 9番目 | 10番目 | |
国内センサー1 | 23/TCP | 6379/TCP | 22/TCP | 80/TCP | 3389/TCP | 8080/TCP | ICMP | 443/TCP | 8728/TCP | 445/TCP |
国内センサー2 | 23/TCP | ICMP | 80/TCP | 443/TCP | 6379/TCP | 8080/TCP | 22/TCP | 8088/TCP | 8443/TCP | 445/TCP |
国内センサー3 | 23/TCP | 6379/TCP | 22/TCP | ICMP | 80/TCP | 3389/TCP | 8080/TCP | 8728/TCP | 443/TCP | 37215/TCP |
海外センサー1 | 445/TCP | 23/TCP | 443/TCP | 80/TCP | ICMP | 37215/TCP | 6379/TCP | 22/TCP | 3389/TCP | 8080/TCP |
海外センサー2 | 23/TCP | 445/TCP | 80/TCP | 3389/TCP | 6379/TCP | 22/TCP | 8080/TCP | 443/TCP | ICMP | 8728/TCP |
海外センサー3 | ICMP | 23/TCP | 80/TCP | 443/TCP | 6379/TCP | 8080/TCP | 8088/TCP | 22/TCP | 8443/TCP | 3389/TCP |
おわりに
複数の地点で観測を行うことで、変動が特定のネットワークだけで起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームからお送りください。最後までお読みいただきありがとうございました。
サイバーメトリクスグループ 鹿野 恵祐