ニュース

開いたポートの調査を目的としたスキャン、オランダからのパケットの8割近く、JPCERT/CCインターネット定点観測レポート

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、国内に設置されたセンサーで、2019年10月~12月に観測されたパケットの分析結果をまとめた「インターネット定点観測レポート」を公開した。

 パケットの観測は、アジア・太平洋地域インターネット定点観測可視化プロジェクト「TSUBAME」によるもの。同プロジェクトでは、インターネット上に複数のセンサーを分散配置し、ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっている。

 同期間中に国内で観測されたパケットの宛先ポート番号の順位については、1位の「23/TCP(telnet)」、2位の「445/TCP(microsoft-ds)」は前四半期(2019年7月~9月)と変わらず、3位が「1433/TCP(ms-sql)」(前四半期トップ10外)、4位が「80/Tcp(http)」(前四半期5位)、5位が「22/TCP」(前四半期3位)だった。

 毎週ほぼ一定数の445/TCP宛のパケットや23/TCP宛のパケットが観測されている。

2019年10月~12月の宛先ポート番号別パケット観測数トップ5の推移

 送信元を地域別に見ると、1位はオランダ、2位はロシア、3位は米国、4位は中国、5位はルーマニアで、上位4位までは前四半期と同じ結果だった。

 送信元地域として最も多いオランダについて調査を行ったところ、パケットの送信元の一部でウェブサーバーが稼働しており、開いているポートの調査を目的としたスキャンを行っている旨を記載したウェブページが見つかった。これに関連したのものかどうかパケットを仕分けしたところ、8割近くがスキャン調査のために送信されていることが分かった。

 また、目立った動きとして、ルーマニアでは12月7日から約1週間以上にわたり、通常の約3~4倍のパケット数が観測される期間があり、順位が上がっている。

2019年10~12月の送信元地域別トップ5ごとのパケット観測数の推移

1433/TCP宛の主な送信元は中国、SQL Serverを対象とした認証試行が行われていることを確認

 2019年10月4日ごろからは、1433/TCP宛の多数のパケットを観測している。1433/TCP宛の主な送信元は中国で、それ以外は米国、インド、ベトナム、ロシアなどの地域だった。日本を送信元とした多数のパケットも観測されており、順位では13番目に多かった。

Port1433/TCP観測パケット数の主な送信元地域ごとの推移

 ハニーポットを構築し、1433/TCP宛にどのようなリクエストが送られているのか確認したところ、SQL Serverを対象とした認証試行が行われていることを確認した。

 また、送信元について調査をしたところ、445/TCPのポートへのパケットの送信元の多くでIISやSMBが動作しておりWindows環境であることが推測される。Windowsのバージョンは特定のバージョンに偏っておらず、またSMBやRDPのポートが空いたものや閉じたものも見られるなど、共通した特徴は確認できなかった。これらのホストがどのようなマルウェアに感染してパケットを送信しているのかは特定できていないという。

イランからのパケット数が減少、インターネット遮断の影響か

送信元地域がイランのパケット数の推移

 2019年11月17日から23日にかけて、送信元地域がイランのパケットの観測数が減少した。

 イランでは、11月15日からガソリンの値段を引き上げたことに対する抗議活動が、テヘランを中心に各地で行われた。サイバーセキュリティとインターネットのガバナンスを監視する非政府組織の「NetBlocks」では、インターネットの遮断がこの期間中に行われたと推測している。

 JPCERT/CCがインターネットリスクの可視化を目的に行っている実証実験プロジェクト「Mejiro」では、イランのオープンリゾルバのノード数が11月17日から23日にかけて減少していることを観測している。

 TSUBAMEおよびMejiroによる観測データに一時的な変動が見られた理由について、JPCERT/CCは「イラン内のボットネットの活動や、オープンリゾルバの状況の変化と考えるよりは通信制限による影響と見た方が合理的」と説明している。

イランのオープンリゾルバのノード数(Mejiroより)