ニュース

国内送信元の445/TCPポート宛のパケットが増加中、ニュージーランド証券取引所からのパケットも観測

JPCERT/CCインターネット定点観測レポート

  • 植田 陽香

2020年11月6日 16:19

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は、国内に設置されたセンサーで、2020年7月~9月に観測されたパケットの分析結果をまとめた「インターネット定点観測レポート」を公開した。

 パケットの観測は、アジア・太平洋地域インターネット定点観測可視化プロジェクト「TSUBAME」によるもの。同プロジェクトでは、インターネット上に複数のセンサーを分散配置し、ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっている。

 同期間中に国内で観測されたパケットの宛先ポート番号の順位については、1位は「445/TCP(microsoft-ds)」、2位は「23/TCP(telnet)」、3位は「1433/TCP(ms-sql)」、4位は「22/TCP」、5位は「80/Tcp(http)」となり、前四半期に対し1位・2位、4位・5位がそれぞれ入れ替わるかたちとなった。

 最も多く観測された445/TCP(microsoft-ds)ポート宛の通信パケットは、4月下旬から継続して増加している状態だ。また、4位の22/TCPポート宛のパケットも増加傾向にあり、送信元ホスト数も増加している。

2020年7月~9月の宛先ポート番号別パケット観測数トップ5の推移

 送信元を地域別に見ると、1位は米国、2位はロシア、3位は中国、4位はオランダ、5位はドイツだった。1位・2位、3位・4位がそれぞれ入れ替わり、5位には前四半期では9位だったドイツがランクインした。

 送信元地域として最も多い米国について、パケットの上位5位の宛先ポート番号は他の地域と大きな違いはなかった。2位のロシアについては、22/TCPポート宛が最も多く、次いで3389/TCPポート宛だった。この2つの宛先ポートへのパケット観測数は、他の地域と比較して1割以上多く、また増減の時期も異なっていた。

2020年7~9月の送信元地域別トップ5ごとのパケット観測数の推移

国内送信元の445/TCPポート宛パケットが増加、ウィンドウサイズが「8192」のホスト数も増加

 同期間を通して、送信元が日本となっている445/TCPポート宛のパケット数およびホスト数が一時的な急増を伴いつつ、全体的に増加傾向にある。

445/TCPポート宛のパケット観測数の推移(送信元日本)

 観測されている445/TCPポート宛のパケットには、TCPパケットのウィンドウサイズに特徴が見られた。送信元の一部を調査したところ、複数のWindows OSが確認できたが、特定のバージョンやマシンの利用用途に偏っているといった特徴は確認できなかった。

 送信元のIPアドレスの管理者に連絡を行なったところ、サポートが終了したバージョンのWindowsサーバーが動作していた、との返事を受け取ったケースがあった。侵害されたサーバー上でマイニングマルウェアの動作や、他のホストを「MS17-010」の脆弱性を使用して攻撃する挙動がみられたという。

 観測されている445/TCP宛のパケットの多くは特定のウインドウサイズを持っていることが確認されている。具体的にはウィンドウサイズが8192となっているパケットの送信元ホスト数が増加傾向にあり、これはMS17-010の脆弱性を悪用しているマルウェアが発するパケットの特徴と一致する。ウィンドウサイズが8192以外の値となっているパケットの送信元ホスト数には大きな変化は見られなかった。

445/TCPポート宛のパケットの送信元ホスト数の推移(送信元日本)

 JPCERT/CCでは、2020年9月末以降もIPアドレスの管理者への連絡とともに、当該ポート宛のパケットの観測を継続している。サポート期間が終わったバージョンや、不要なポートがネットワークに対して開いた状況になっていないか、アップデートなどの対策が適切に実施され、適切な強度のパスワードが設定されているかなどの確認を、Windowsを搭載したマシンの管理者に呼び掛けている。

DDoS攻撃を受けたニュージーランド証券取引所からのパケットを観測

8月26日~9月2日にかけてのニュージーランドからのパケットの推移

 ニュージーランドを送信元とした一時的なパケットの増加を8月27、30、31日に観測した。この時期は、ニュージーランド証券取引所やニュージーランド銀行がDDoS攻撃を受けていると報道された時期と一致する。今回観測したパケットは、DDoS攻撃に関連したパケットに共通に見られる特徴があり、攻撃の試行や攻撃の結果によるものと推測される。

 8月27日に4つ、30日に1つのニュージーランド証券取引所の保有するIPアドレス、31日には7つのニュージーランド銀行の保有するIPアドレスを送信元とするパケットを観測している。

 上記のIPアドレスからTSUBAMEに届いたパケットのうち、443/TCPポート宛のパケットは、ウィンドウサイズが特定の数値で固定、シーケンス番号が特定の数値で固定される特徴が見られた。23/TCPポート宛のパケットについても、ウィンドウサイズが特定の数値で固定される特徴があった。