TSUBAMEレポート Overflow(2021年10~12月)
はじめに
このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。今回は、TSUBAME(インターネット定点観測システム)における2021年10~12月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。
GREのパケットの増加
レポートでは記述していませんが、日本国内を送信元IPアドレスとしたパケットTOP5は表1となっており、Generic Routing Encapsulation(GRE)のパケットが一番多く観測されました。本パケットは広範囲のセンサーで観測しています。
表1:国内センサーのプロトコル・ポート番号別順位
| 順位 | プロトコル・ポート番号 |
|---|---|
| 1 | GRE |
| 2 | 23/TCP |
| 3 | 445/TCP |
| 4 | 37215/TCP |
| 5 | 8545/TCP |
GREはトンネルプロトコルの1つです。GREトンネルを通じてカプセル化されたデータが伝送されます。TSUBAMEセンサーで確認したパケットの内容に意味があるかは不明ですが、観測したパケットキャプチャの結果を図1に示します。(TSUBAMEセンサーに関する情報を一部マスクしています)
図1:観測したGREのパケットの例
GREのパケットの送信元についてSHODANやCensysなどのスキャンデータサービスプロバイダーのデータを用いて確認をしたところ、特定のOSやソフトウェアが稼働しているなど共通する要素は見られませんでした。ただ、一部の送信元では、Webサーバーが動作しており監視カメラやレコーダーなどのIoT製品が動作していることが確認できました。JPCERT/CCでは、インシデント対応の一環として国内のGREのパケットの送信元のIPアドレスの管理者に対して通知を行っています。JPCERT/CCやISPなどから連絡を受けた場合には、ネットワークに接続した機器が侵害を受けていないか確認し、ファームウェアのアップデートを行っているかや、初期パスワードや弱いパスワードを使用している場合は変更などのセキュリティ対策にご協力をお願いします。
国内外の観測動向の比較
図2、3は国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーの方が多くのパケットが観測されました。国内、海外のセンサーでともにどの月も1年前の同月より多くのパケットが観測されています。
 |
 |
| 図2:国内センサーの平均パケット数 | 図3:海外センサーの平均パケット数 |
センサーごとの観測動向の比較
各センサーにはそれぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表1に国内外のセンサーごとに届いたパケットTOP10をまとめました。Redisが使用する6379/TCPや23/TCP、22/TCPなどはどのセンサーでも観測されています。国内外では観測パケット数の違いにより順位は異なりますが、組み合わせが大きく異なる結果は見られませんでした。つまり、これらのプロトコルは、広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。
表2:国内外センサーごとのパケットTOP10の比較
| 1番目 | 2番目 | 3番目 | 4番目 | 5番目 | 6番目 | 7番目 | 8番目 | 9番目 | 10番目 | |
| 国内センサー1 | 123/UDP | 6379/TCP | 5555/TCP | 23/TCP | 22/TCP | 445/TCP | ICMP | 2375/TCP | 443/TCP | 80/TCP |
| 国内センサー2 | 6379/TCP | 23/TCP | 123/UDP | 22/TCP | 445/TCP | 443/TCP | 2375/TCP | 80/TCP | 2376/TCP | 1433/TCP |
| 国内センサー3 | 6379/TCP | 23/TCP | 22/TCP | 445/TCP | 443/TCP | 37215/TCP | 80/TCP | 5060/UDP | 2375/TCP | 1433/TCP |
| 海外センサー1 | 6379/TCP | 23/TCP | 22/TCP | 5060/UDP | 80/TCP | 5555/TCP | 1433/TCP | 443/TCP | GRE | 81/TCP |
| 海外センサー2 | 23/TCP | 6379/TCP | 445/TCP | 22/TCP | 139/TCP | 1433/TCP | 5060/UDP | 80/TCP | 443/TCP | 5555/TCP |
| 海外センサー3 | 445/TCP | 139/TCP | 6379/TCP | 23/TCP | 22/TCP | 123/UDP | 5555/TCP | ICMP | 5060/UDP | 2375/TCP |
おわりに
いかがでしたか。複数の地点で観測を行うことで変動が特定のネットワークだけで起きているのかどうか判断が行えるようになります。Redisについては、日本以外の地域でも多く観測していることから、何らかの変化が現れることを期待して送信元地域のCSIRTチームへの情報提供の準備を行っています。また、GREについては特にこの件を取り上げた公開情報がありません。引き続き、情報提供を行った際に得られるフィードバックなどで得られた情報などをもとに実態の解明を進めていく予定です。 今期では、特別な号外による注意喚起等の情報発信には至っていませんが、取り上げたRedisの問題はインターネットを使う上で注意が必要です。 今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームよりお送りください。最後までお読みいただきありがとうございました。
サイバーメトリクスグループ 鹿野 恵祐
