Internet Watch logo
記事検索
最新ニュース

TCP 135番ポートへのアクセスが増加傾向~警察庁のネット治安情勢レポート


 警察庁は21日、2005年度第1四半期(4~6月)の国内におけるインターネット治安情勢についてのレポートを、同庁のセキュリティポータルサイト「@police」で公開した。

 このレポートは、全国の警察施設に設置されたファイアウォールと侵入検知装置(IDS)について、警察庁のサイバーフォースセンターが観測したデータをまとめたもの。期間中、外部のネットワークからファイアウォールへのアクセスは約191万6,000件あり、前期から約11万4,000件減少。IDSの検知件数は約10万2,000件で約2万3,000件減少した。

 ファイアウォールではTCP 135番ポートに対するアクセスが最も多く、全体の45.7%を占める。TCP 135番ポートは、2003年に発生したウイルス「Blaster」を代表とする多くのウイルスが感染活動に利用している。このほかの宛先ポート別のアクセスは、TCP 445番ポート(16.8%)、TCP 1433番ポート(6.0%)、TCP 139番ポート(4.6%)、ICMP(3.5%)などとなっている。

 これらのファイアウォールへのアクセスのうち、TCP 135番ポートでは64%、TCP 445番ポートでは53%が日本国内を発信元とするものとなっている。一方、TCP 1433番ポートへのアクセスは、中国を発信元とするものが全体の44%を占めている。アクセスの発信元となっている国/地域別の統計は、日本が40.9%、中国が18.2%、韓国が10.1%、米国が5.8%、台湾が3.6%など。

 また、6月26日以降には、TCP 10000番ポートへのアクセスが急増していることが観測されている。これは、米Veritas Softwareのバックアップソフトウェアの脆弱性を狙ったものと推測されている。

 IDSで検知した攻撃の手法別の分類では、ワームによるものが全体の90.9%を占める。その他の攻撃はポートスキャンが7.9%、バックドアが0.9%、ICMPが0.3%などで、いずれの攻撃手法とも前期から件数が減少している。国別の検知件数では、中国が60.2%、米国が11.1%、日本が6.1%、韓国が5.1%、英国が3.9%などとなっている。

 警察庁ではこのほか、発信元を偽装した大量のSYNパケットをサーバーに送りつける「SYN flood攻撃」に関する観測も行なっている。SYN flood攻撃を受けたことにより、サーバーが返信したと思われるSYN/ACKパケットの観測結果では、TCP 80番ポートからのものが59.1%を占め、SYN flood攻撃が主にWebサーバーに対して行なわれていることが推測されるとしている。

 また、SYN/ACKパケットの発信元は中国が80.7%、米国が10.7%となっており、この2国のサーバーに対するSYN flood攻撃が常態化していると推測している。国内を発信元とするSYN/ACKパケットは少ないものの、国内企業が運営するオンラインゲームのサーバーがDDoS攻撃を受けたとされる期間において、このサーバーからのSYN/ACKパケットを観測したという。


関連情報

URL
  我が国におけるインターネット治安情勢の分析について(PDF)
  http://www.cyberpolice.go.jp/detect/pdf/H170721.pdf

関連記事
警察庁が6月のネット治安情勢を報告、Slammerの攻撃が減少傾向に(2005/07/08)


( 三柳英樹 )
2005/07/21 18:36

- ページの先頭へ-

INTERNET Watch ホームページ
Copyright (c) 2005 Impress Corporation, an Impress Group company. All rights reserved.