Internet Watch logo
記事検索
最新ニュース

TCP 445番ポートへのアクセスが急増〜警視庁ネット治安調査


 警察庁は27日、2005年度第2四半期(7〜9月)の国内におけるインターネット治安情勢についてのレポートを、同庁のセキュリティポータルサイト「@police」で公開した。

 このレポートは、全国の警察施設に設置されたファイアウォールと侵入検知装置(IDS)について、警察庁のサイバーフォースセンターが観測したデータをまとめたもの。期間中、外部のネットワークからファイアウォールへのアクセスは約162万8,000件あり、前期から約28万8,000件減少。IDSの検知件数は約13万6,000件で約3万4,000件増加した。

 ファイアウォールではTCP 135番ポートに対するアクセスが最も多く、全体の27.4%を占める。また、TCP 445番ポート(26.7%)と139番ポート(12.8%)に対するアクセスが大幅に増加。TCP 445番ポートへのアクセスは、8月15日以降急増しているが、Microsoftのプラグアンドプレイの脆弱性「MS05-039」を狙ったものと推測される。TCP 139番ポートに対するアクセスも、前期に引き続き増加傾向を示した。

 これらのファイアウォールへのアクセスのうち、TCP 135番ポートでは59%、TCP 445番ポートでは53%が日本国内を発信元とするものとなっている。アクセスの発信元となっている国/地域別の統計は、日本が35.4%、中国が21.8%、韓国が11.4%、米国が6.0%、台湾が5.5%など。

 IDSで検知した攻撃の手法別の分類では、ワームによるものが全体の92.8%を占めており、前期比から36%増加。中国からのSQL Slammerの検知件数が、前期に比べ68%増加したことで、総検知件数が33%増えたという。その他の攻撃はポートスキャンが6.0%、バックドアが0.6%、ICMPが0.4%など。国別の検知件数では、中国が75.0%、米国が7.9%、日本が3.7%、ロシアが2.3%、韓国が1.9%などとなっている。

 警察庁ではこのほか、発信元を偽装した大量のSYNパケットをサーバーに送りつける「SYN flood攻撃」に関する観測も行なっている。SYN flood攻撃を受けたことにより、サーバーが返信したと思われるSYN/ACKパケットの観測結果では、TCP 80番ポートからのものが74.3%を占め、SYN flood攻撃が主にWebサーバーに対して行なわれていることが推測されるとしている。なお、総検知数は前期に比べて18%減少した。

 SYN/ACKパケットの発信元としては、中国からの検知数が前期比で17%減ったが、全体では中国が81.6%を占めた。また、米国が14.4%となっており、この2国のサーバーに対するSYN flood攻撃が常態化していると推測。国内を発信元とするSYN/ACKパケットは少ないものの、TCP 22番ポートからのSYN/ACKパケットを観測しており、同ポートを使用してSSHを狙う攻撃があったと推測している。


関連情報

URL
  我が国におけるインターネット治安情勢の分析について(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/20051027.pdf

関連記事
TCP 135番ポートへのアクセスが増加傾向〜警察庁のネット治安情勢レポート(2005/07/21)


( 増田 覚 )
2005/10/28 19:06

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Watch Corporation, an Impress Group company. All rights reserved.