Internet Watch logo
記事検索
最新ニュース

10〜12月はファイアウォールへのアクセス件数が減少〜警察庁ネット定点観測


 警察庁は26日、2005年度第3四半期(10〜12月)の国内におけるインターネット治安情勢についてのレポートを、同庁のセキュリティポータルサイト「@police」で公開した。

 このレポートは、全国の警察施設に設置されたファイアウォールと侵入検知装置(IDS)について、警察庁のサイバーフォースセンターが観測したデータをまとめたもの。期間中、外部のネットワークからファイアウォールへのアクセスは約148万件あり、第2四半期から約22万件減少。IDSの検知件数は約15万1,000件で約1万5,000件増加した。

 ファイアウォールに対するアクセス件数では、第2四半期にウイルス「Zotob」の発生により急増したTCP 445番ポートへのアクセスが減少。同様に、TCP 139番ポート、TCP 135番ポートへのアクセスも減少した。ただし、TCP 135番ポートについては、2005年12月15日〜16日にかけて、ボットの感染活動によるものと見られるアクセスの一時的な急増を確認している。

 宛先ポート別では、TCP 135番ポートに対するアクセスが最も多く、全体の31.3%を占める。このほかの宛先ポートでは、TCP 445番ポート(24.5%)、TCP 139番ポート(8.4%)、ICMP(6.4%)、TCP 1433番ポート(5.1%)などが上位を占める。

 アクセスの発信元となっている国/地域別の統計では、日本が 34.1%、中国が22.2%、米国が7.0%、韓国が5.9%、台湾が4.5%など。各国ともアクセス件数が減少しており、中でも韓国からのアクセスが前期比56%減と大きく減少している。

 IDSで検知した攻撃の手法別の分類では、ワームによるものが全体の94.8%と大部分を占める。その他の攻撃は、ポートスキャンが4.5%、バックドアが0.3%、ICMPが0.3%など。SQL Slammerのワーム活動によるものと見られる攻撃が引き続き高い件数で推移しており、前期比13%の増加となった。発信元の国/地域別の検知件数では、中国が70.7%、米国が8.9%、日本が4.2%、インドが2.8%、オランダが2.2%となり、前期に比べてインドとオランダからの攻撃が急増している。

 警察庁ではこのほか、発信元を偽装した大量のSYNパケットをサーバーに送りつける「SYN flood攻撃」に関する観測も行なっている。SYN flood攻撃を受けたことにより、サーバーが返信したと思われるSYN/ACKパケットの観測結果では、TCP 80番ポートからのものが65.4%を占め、SYN flood攻撃が主にWebサーバーに対して行なわれていると推測している。

 SYN/ACKパケットの発信元は中国が80.5%、米国が11.0%となっており、この2カ国で全体の81%を占める。警察庁では、この2カ国に対するSYN flood攻撃が常態化していると推測している。


関連情報

URL
  我が国におけるインターネット治安情勢の分析について(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/20060126.pdf

関連記事
12月はポーランドからのアクセスが一時的に急増〜警察庁ネット定点観測(2006/01/05)


( 三柳英樹 )
2006/01/27 14:51

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2006 Impress Watch Corporation, an Impress Group company. All rights reserved.