警察庁は28日、2004年度第2四半期(7~9月)の国内におけるインターネット治安情勢についてのレポートを、同庁のセキュリティポータルサイト「@police」で公開した。
このレポートは、全国の警察施設に設置されたファイアウォールと侵入検知装置(IDS)について、警察庁のサイバーフォースセンターが観測したデータをまとめたもの。期間中、外部のネットワークからファイアウォールへのアクセスは約241万7,000件あり、前期から約2,000件減少。IDSの検知件数は約73,000件で約8,000件減少した。
ファイアウォールへのアクセスで最も多いのはTCP 135番ポートで、これは2003年に発生したウイルス「Blaster」を代表とする多くのウイルスが、RPCの脆弱性を悪用し感染活動を行なうためとしている。また、TCP 445番ポートに対するアクセスが前期比で約60%増となっており、LSASSの脆弱性を悪用したウイルスが多数発生したことによるものと推測している。
また、TCP 135番ポートと445番へのアクセスは、国内が発信元のものが全体の約60%を占めている。これについては、ウイルスが近隣のネットワークを攻撃するアルゴリズムを実装していることが原因の1つとして考えられるとしている。
一方、ICMPへのアクセス件数については、韓国が発信元のものが全体の約40%を占めている。ICMPのアクセス数は、ウイルス「Welchia」が1月に活動を停止したことから減少に転じていたが、稼動中のPCを探すためにICMPを使用するウイルス「Sasser.D」が5月前半に発生し、再び増加していたという。ただし、7~9月ではICMPへのアクセス数は徐々に減少してきている。
アクセス全体についての国別の比率では、日本が39.4%、韓国が16.6%、中国が14.2%となり、アジア地域からのアクセス件数が全体の約80%を占める。日本からのアクセス件数が前期比で約26%増となる一方、米国からのアクセス件数は約33%減と大幅に減少している。
IDSの検知件数については、攻撃手法別で最も多かったのはワーム(Slammer)で70.6%を占めた。以下、ポートスキャンが14.8%、ICMPが11.3%、バックドアが3.1%となっている。全体的に減少傾向にあり、ワームは前期に比べて約16%減、ポートスキャンは約38%減となっているが、ICMPは約100%増と急増している。ICMPの内訳としては、米国を発信元とする「ICMP Traceroute」が大半を占めている。発信元の国別比率では、米国が33.8%、日本が14.7%、中国が9.4%となっている。
期間中には、8月上旬に日本の各省庁などのWebサイトに対してDoS攻撃が行なわれており、警察庁ではファイアウォールの定点観測の結果から、SYN flood攻撃によるものと推定している。SYN flood攻撃は発信元を偽装したSYNパケットを大量に送信するもので、サーバーがそれに対してSYN/ACKパケットを返信するためにタイムアウト処理などで負荷が増大し、サービスが停止状態になってしまう。
ファイアウォールによるSYN/ACKパケットの検知件数では、TCP 80番ポートが約85%を占めており、SYN flood攻撃が主にWebサーバーに対して行なわれていると推測している。国別では中国を発信元とするSYN/ACKパケットが約96%を占め、次いで米国が3%となっている。中国と米国を発信元とするSYN/ACKパケットは定常的に検知しており、警察庁ではこの2国に対するSYN flood攻撃が常態化していると推測している。
関連情報
■URL
我が国におけるインターネット治安情勢の分析について(PDF)
http://www.cyberpolice.go.jp/detect/pdf/H161028.pdf
@police
http://www.cyberpolice.go.jp/
■関連記事
・ 警察庁、7~9月のSYN flood攻撃について分析~中国への攻撃が最多(2004/10/25)
・ 警察庁、4~6月のインターネット治安情勢レポートを公開(2004/07/22)
( 三柳英樹 )
2004/10/28 20:38
- ページの先頭へ-
|