JPCERT/CC Eyes

はじめに

このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、TSUBAME（インターネット定点観測システム）における2024年10～12月の観測結果についてご紹介します。

国内組織のWebサイトからの跳ね返りパケットの観測について

JPCERT/CC では、日々TSUBAMEで収集したデータを分析しています。観測されるパケットの中には、IPアドレスを詐称してWebサイト等を対象に送信されたパケットの応答パケットなどを観測する場合があります。
ホスティングサイトなどを対象とした跳ね返りパケットは日々観測しているのですが、12月は大手企業のWebサイト等を狙ったとみられるDDoS攻撃活動の一部を跳ね返りパケットとして観測しました。12月の観測状況を図1に示します。

図1：国内のWebサイトからの跳ね返りパケットの観測動向

送信元を調査したところ、銀行、印刷会社、証券会社、航空会社等のネットワークから送信されたパケットでした。一部の企業に関しては頻繁に観測しており、執拗に狙われているケースも考えられます。
DDoS攻撃には今回紹介した手法以外にもさまざまな方法があります。攻撃を受けてからの対策は難しいため、CDNの利用などあらかじめ対策を行っておき、障害が発生した場合に利用者へ状況を知らせるため、代替手段（SNS等）を検討しておくことが重要です。
JPCERT/CCでは、攻撃を観測した際には当該事業者に観測結果のデータを共有しています。

国内外の観測動向の比較

図2は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーで多くのパケットを観測しています。

図2：月ごとの国内外センサー平均パケット数の比較

センサーごとの観測動向の比較

各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表1に国内外のセンサーごとに届いたパケットTOP10をまとめました。順位の差はありますが、23/TCP、8728/TCP、22/TCP、8080/TCP、80/TCP、ICMP等はほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。

表1：国内外センサーごとのパケットTOP10の比較

おわりに

複数の地点で観測を行うことで、特定のネットワークだけで変動が起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームからお送りください。最後までお読みいただきありがとうございました。

サイバーメトリクスグループ 鹿野 恵祐

TSUBAMEレポート Overflow（2024年10～12月）