1. 概況

JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点からの多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し、観測網に参加してもらう活動を行っています。
各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRTなどに情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、日本国内に設置されたセンサーで本四半期に観測されたパケットを中心に分析した結果について述べます。

［表1］に示した各宛先ポート番号を持つパケット観測数の推移を［図1］に示します。

最も多く観測されたパケットは、23/TCP（telnet）宛の通信でした。4月13日に445/TCP（microsoft-ds）宛のパケットが減少し、4月16日には123/UDP（ntp）宛のパケットが減少しました。TOP5には入りませんでしたが、日本国内を送信元としたパケットに注目すると、9530/TCP宛（全体18番目、国内3番目）のパケットが期間中多く観測されました。これについては改めて2.1で述べます。
次に、本四半期に国内で観測されたパケットについて、送信元IPアドレスを地域ごとにまとめてパケットが多かった順に並べたトップ5を［表2］に示します。

［表2］の送信元地域からのパケット観測数の推移を［図2］に示します。

本四半期に受信したパケットの送信元地域で最も多く見られたのは米国でした。2番目に多かったロシアからは5月2日からの2週間に他の期間と比較して約4倍以上のパケット数を観測しました。これはロシアの少数のIPアドレスを送信元としたパケットをセンサーで観測したためです。サービス提供用に一般的に用いられているポート番号が対象ではなく、さまざまなポートに対するパケットを観測しています。4番目に多かったイギリスからのパケット数は6月以降において増減を繰り返しました。

2. 注目された現象

2021年5月23日頃から日本を送信元としたPort9530/TCP宛のパケットが一時的に多数観測されました（図3）。6月14日頃からは韓国、米国、メキシコ、台湾などを送信元としたパケットが多く観測されました。日本を送信元としたパケットは期間中2番目に多く観測されました。

Port9530/TCP宛のパケットの送信元について、SHODAN等により5月22日から6月30日の間に観測した約1250の国内の送信元のIPアドレスについて状況を調べたところ、ロジテック社製ブロードバンドルーターが持つ特徴（2）を確認でき、送信元の約8割で脆弱性（CVE-2014-8361）が残されたままインターネットに接続されていることが判明しました。
JPCERT/CCでは、インシデント対応の一環として国内のPort9530/TCP宛のパケットの送信元のIPアドレスの管理者に対して通知を行いました。その結果、一部の管理者から、次のような内容の回答が得られました。

「ユーザーに連絡を取りロジテック社製のルーターを利用していることを確認しました。脆弱性への対応が必要な機種のため、別のルーターへの買い替えが必要な旨を案内し、ユーザーから新しいルーターを手配したとの連絡がありました」

JPCERT/CCでは、センサーで観測されたパケットの送信元のうち脆弱性（CVE-2014-8361）が解消されていないとみられる送信元に連絡をしています。JPCERT/CCやISPなどから連絡を受けた場合には、ファームウェアのアップデート等のセキュリティ対策にご協力をお願いします。
海外にあるパケットの送信元には、カメラやルーターなどの複数の種類の機器のいずれかが設置されていました。その分布には地域との相関性があまり見られず、海外の一定の地域で広く使用されている機器と推測されます。調査や善処を期待して、各送信元に対応するNational CSIRTに情報提供するための準備を進めました。Port9530/TCP宛のパケットについては7月現在も継続しているため、継続して調査を行っていく予定です。

3. 参考文献

Topへ