JPCERT/CC Eyes

はじめに

このブログ「TSUBAMEレポート Overflow」では、四半期ごとに公表している「インターネット定点観測レポート」の公開にあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などをまとめて取り上げていきます。
今回は、TSUBAME（インターネット定点観測システム）における2022年10～12月の観測結果についてご紹介します。日本国内のTSUBAMEにおける観測状況と代表的なポート番号宛に届いたパケットの状況について週次でグラフを公開していますので、そちらもぜひご覧ください。

Mirai型パケットの送信元地域別TOP5の推移について

TSUBAMEで観測したMirai型の特徴を持つパケットの送信元地域別IPアドレス数のTOP5について日毎の推移のグラフを図1に、総数とTOP5の推移を図2に示します。

図1：送信元地域毎のMirai型ホスト数の推移	図2：Mirai型ホスト数の総数とTOP5の合計の推移

Mirai型パケットの送信はすべての地域から一律に行われるわけではなく、地域ごとに増減があります。中国や韓国はホスト数が何度も増減を繰り返しました。日本や台湾、米国については大きな変動を繰り返すことなく緩やかな変化が見られました。その中でもピークとなる時期は異なっており、日本は10月15日頃、台湾は11月5日頃、米国は12月27日頃でした。今回の定点観測レポートでは国内の動向としてDVR機器やルーター等が送信元の可能性があると記載しましたが、海外ではまた日本とは別の製品が送信元で動作していることを確認しています。地域ごとにインターネットに接続されている機器に特色があり、攻撃者が対象となる機器を変化させたことによりこういった図1のような変化が現れたと考えられます。

国内外の観測動向の比較

図3、4は、国内外のセンサー1台が1日あたりに受信したパケット数の平均を月ごとに比較したものです。国内のセンサーよりも海外のセンサーの方が多くのパケットが観測されました。

図3：国内センサーの平均パケット数	図4：海外センサーの平均パケット数

センサーごとの観測動向の比較

各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表1に国内外のセンサーごとに届いたパケットTOP10をまとめました。国内は6番目までの宛先ポートがほぼ一致しており、海外センサーとは対象となるポートが異なる結果となりました。 23/TCPが多くのセンサーでトップとなり、6379/TCPも多くのセンサーでTOP10に入っています。これらのプロトコルは、広範囲のネットワークにてスキャンが行われていることを示唆していると考えられます。

表1：国内外センサーごとのパケットTOP10の比較

おわりに

複数の地点で観測を行うことで、変動が特定のネットワークだけで起きているのかどうかを判断できるようになります。本四半期は、特別な号外による注意喚起等の情報発信には至っていませんが、スキャナーの存在には注意が必要です。今後もレポート公開にあわせて定期的なブログの発行を予定しています。特異な変化などがあった際は号外も出したいと思います。皆さまからのご意見、ご感想も募集しております。掘り下げて欲しい項目や、紹介して欲しい内容などがございましたら、お問い合わせフォームよりお送りください。最後までお読みいただきありがとうございました。

サイバーメトリクスグループ 鹿野 恵祐