TSUBAMEレポート Overflow(2024年4~6月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、TSUBAME(インターネット定点観測システム)における2024年4~6月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。
TP-LINK製のルーターからtelnetを探索する動きについて
JPCERT/CCでは、日々TSUBAMEで収集したデータを分析しています。今回紹介する事例としては、あるメーカーの無線LANルーターからTelnetへの探索が、ゴールデンウィーク前ごろから特定のISPに偏って観測した事例です。
探索パケットの送信元のIPアドレスを調査したところ、TP-LINK製の無線LANルーターを多く発見しました。特に数が多かったものとして、TP-LINK社製のAX3000、Firmwareバージョン1.0.0で動作しているものが見られました。そのルーターの画面を図1に示します。
 |
| 図1:特定のFirmwareバージョンで動作していると見られるTP-LINK製ルーターのログイン画面 |
図1の画面を確認することができた送信元のIPアドレスに対してWHOISレコードから、ISPやネットワークレンジに設置されていることが多いのかを確認したところ、あるISP内の5つのネットワークレンジからの通信に偏っているように見えました。これら5つのネットワークレンジについて、TSUBAMEで観測した送信元IPアドレス数の推移を図2に示します。
 |
| 図2:5つのネットワークからTSUBAMEセンサー宛に届いたパケットのIPアドレス数の推移 |
ゴールデンウイークの前後から送信元IPアドレス数に顕著な変化が見られます。増減はありますが6月30日時点で問題は解消されておりません。JPCERT/CCは上述の問題への解決を目的とし、当該ISPに対して観測データを提供しています。
なお、当該製品(TP-LINK AX3000)は現在も家電量販店でも見かけるような製品です。さまざまなユーザーが本製品を購入していると考えられ、特定のISP内のユーザーばかりが特定のFirmwareバージョンを使用し続けるといった状況は、通常考えにくいです。何らかの理由で大量購入した特定のユーザー、もしくはサービスなどを提供している業者等が、一括管理を行う目的で特定のFirmwareバージョンを使用しているのではないかとも推測できます。
インターネット接続機器については、サポートのある製品を使用し、Firmwareバージョンの更新や、ルーターの設定が不適切なものとなっていないか確認が不可欠です。特に、事業者として提供しているケースでは、保守や管理など普段のメンテナンス作業としても考慮するようお願いします。
国内外の観測動向の比較
図3は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。
|
| 図3:月ごとの国内外センサー平均パケット数の比較 |
センサーごとの観測動向の比較
各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表1に国内外のセンサーごとに届いたパケットTOP10をまとめました。センサーごとに順位に差はありますが、23/TCP、8728/TCP、22/TCP、8080/TCP、80/TCP、ICMP等はほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表1:国内外センサーごとのパケットTOP10の比較
| 国内センサー1 | 国内センサー2 | 国内センサー3 | 海外センサー1 | 海外センサー2 | 海外センサー3 | |
|---|---|---|---|---|---|---|
| 1番目 | 23/TCP | 23/TCP | 23/TCP | 23/TCP | ICMP | 23/TCP |
| 2番目 | 8728/TCP | 8728/TCP | 8728/TCP | 80/TCP | 23/TCP | ICMP |
| 3番目 | 6379/TCP | 80/TCP | 6379/TCP | 22/TCP | 8728/TCP | 80/TCP |
| 4番目 | 22/TCP | 6379/TCP | 22/TCP | 8728/TCP | 80/TCP | 8728/TCP |
| 5番目 | 80/TCP | 22/TCP | 80/TCP | 443/TCP | 22/TCP | 6379/TCP |
| 6番目 | 3389/TCP | 3389/TCP | 8443/TCP | 3389/TCP | 443/TCP | 22/TCP |
| 7番目 | 4719/TCP | ICMP | 3389/TCP | 8080/TCP | 8080/TCP | 443/TCP |
| 8番目 | ICMP | 8080/TCP | ICMP | ICMP | 3389/TCP | 8080/TCP |
| 9番目 | 8080/TCP | 443/TCP | 4719/TCP | 445/TCP | 2222/TCP | 3389/TCP |
| 10番目 | 445/TCP | 2222/TCP | 8080/TCP | 8081/TCP | 8081/TCP | 2222/TCP |
おわりに
複数の地点で観測を行うことで、変動が特定のネットワークだけで起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームからお送りください。最後までお読みいただきありがとうございました。
サイバーメトリクスグループ 鹿野 恵祐
