TSUBAMEレポート Overflow(2024年7~9月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、TSUBAME(インターネット定点観測システム)における2024年7~9月の観測結果についてご紹介します。
前回取り上げたTP-LINK社製の無線LANルーターとは別の機種からのパケットについて
JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。前回のブログにて、TP-LINK社製の無線LANルーター(AX3000)と考えられる送信元IPからのスキャンについて説明しました。TSUBAMEで受信した探索パケットの送信元IPをたどっていくと、TP-LINK社製の無線LANルーターに遭遇します。JPCERT/CCが確認した機種を表1に示します。
表1:探索パケットを送信していたTP-LINK社製の無線LANルーター
| 取得できた機種に関する情報 |
|---|
| AX1800 Wi-Fi 6 Router |
| AX3000 Wi-Fi 6 Router |
| AX5400 Wi-Fi 6 Router |
| AX6000 Wi-Fi 6 Router |
| Wireless Router Archer AX50 |
| MR70X |
| A6 MU-MIMO Wi-Fi Router |
| AC2600 MU-MIMO Wi-Fi Router |
Firmwareバージョンが確認できたケースでは、2023年以前に提供されていた古いバージョンが見られました。そうしたメンテナンスされていない無線LANルーターが脆弱性を使用した攻撃を受けるなどして何らかのマルウェアに感染し、探索パケットを発信していると考えるのが自然でしょう。
IoT機器を対象としたマルウェアの代表例としてMiraiが挙げられますが、攻撃の影響を受けた機器が探索パケットを送信するとも限りません。インターネット接続機器については、サポートのある製品を使用し、Firmwareバージョンの更新や、ルーターの設定が不適切なものになっていないか確認が不可欠です。ベンダーの情報を確認し、新しいFirmwareが公開されていないか、インターネットに対してアクセス制限が行われているか、普段からメンテナンス作業をお願いします。
国内外の観測動向の比較
図1は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。
|
| 図1:月ごとの国内外センサー平均パケット数の比較 |
センサーごとの観測動向の比較
各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表2に国内外のセンサーごとに届いたパケットTOP10をまとめました。順位の差はありますが、23/TCP、8728/TCP、22/TCP、8080/TCP、80/TCP、ICMP等はほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表2:国内外センサーごとのパケットTOP10の比較
| 国内センサー1 | 国内センサー2 | 国内センサー3 | 海外センサー1 | 海外センサー2 | 海外センサー3 | |
|---|---|---|---|---|---|---|
| 1番目 | 23/TCP | 23/TCP | 23/TCP | 23/TCP | 23/TCP | 23/TCP |
| 2番目 | 8728/TCP | 8728/TCP | 8728/TCP | 8728/TCP | 8728/TCP | ICMP |
| 3番目 | ICMP | 80/TCP | 6379/TCP | 6379/TCP | 80/TCP | 8728/TCP |
| 4番目 | 80/TCP | 22/TCP | 80/TCP | 80/TCP | 445/TCP | 80/TCP |
| 5番目 | 22/TCP | 22/TCP | 80/TCP | 443/TCP | 22/TCP | 6379/TCP |
| 6番目 | 6379/TCP | 443/TCP | ICMP | 22/TCP | 22/TCP | 22/TCP |
| 7番目 | 3389/TCP | 8080/TCP | 3389/TCP | 443/TCP | 3389/TCP | 3389/TCP |
| 8番目 | 8080/TCP | 3389/TCP | 8080/TCP | ICMP | 8080/TCP | 443/TCP |
| 9番目 | 8081/TCP | 2222/TCP | 8081/TCP | 8081/TCP | ICMP | 8080/TCP |
| 10番目 | 443/TCP | 8081/TCP | 443/TCP | 3389/TCP | 8080/TCP | 1433/TCP |
おわりに
複数の地点で観測を行うことで、特定のネットワークだけで変動が起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームからお送りください。最後までお読みいただきありがとうございました。
サイバーメトリクスグループ 鹿野 恵祐
