7月のネット治安情勢、韓国への攻撃やOracleへの攻撃を確認


 警察庁は8月31日、全国の警察施設に設置したファイアウォールや不正侵入検知装置の状況をまとめたレポート「我が国におけるインターネット治安情勢」の2009年7月版を公開した。7月には、韓国に対するサイバー攻撃の影響と見られるパケットが観測されたほか、Oracleのデータベースに対する攻撃と見られるアクセスが急増したという。

 7月のファイアウォールに対するアクセス数は、1日・1IPあたり360.1件で、6月から14.0%減少。宛先ポート別のアクセス数の割合は、1位がTCP 445番ポートの36.4%、2位がTCP 135番ポートの15.9%、3位がICMP(Echo Request)の8.5%など。1位のTCP 445番ポートへのアクセスは、「Conficker」ワームによるものと考えられるが、6月からはアクセス数が4.2%減少しており、Confickerの感染拡大は沈静化したものと推測されるとしている。

 発信元の国・地域による割合は、1位が中国で31.8%、2位が日本で20.5%、3位が米国で6.7%、4位がロシアの4.1%、5位が台湾の3.7%など。中国からのアクセスは、6月から30.8%減少しており、中国からはTCP 135番ポートおよび2967番ポートへのアクセスが減少したほか、中国が発信元の大半を占めていたUDP spamが6月20日以降検知されなくなったという。

 7月には、韓国および米国の主要官庁などのWebサイトが大規模なサイバー攻撃を受けたという報道があったが、警察庁でも同時期に韓国への攻撃の影響と見られるパケットを観測。7月8日~9日には、韓国の特定サイトからのICMP(Echo Request)パケットを観測しており、このサイトが大量のPINGを送りつけられるPING flood攻撃を受けていた可能性が高いとしている。

 また、7月にはOracleのデータベースで利用されているTCP 1521番ポートに対して、中国からのアクセスが急増。このアクセスを観察したところ、ツールを利用したスキャン活動であることが推測され、中国語のサイトで該当すると思われる攻撃ツールを配布していることが確認できたという。7月15日には、Oracleがデータベースの脆弱性情報および修正プログラムを発表しており、これをきっかけとして、ツールを用いたスキャン行為が行われたものと考えられると分析している。


関連情報

(三柳 英樹)

2009/9/1 18:36