ポイント

  • NICTERプロジェクトにおける2017年のサイバー攻撃関連通信の観測・分析結果を公開
  • サイバー攻撃関連通信は依然増加傾向を示し、感染IoT機器からの通信が半数以上を占める
  • 日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進める
NICTは、サイバーセキュリティ研究所において、NICTER観測レポート2017を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2017年に観測されたサイバー攻撃関連通信は、2016年と比べて約1.2倍と依然増加傾向にあり、マルウェアに感染したIoT機器からの通信が半数以上を占めることが分かりました。また、詳細な分析の結果、IoT機器への攻撃手法が高度化してきていることも分かりました。NICTでは日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

背景

NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。

今回の成果

NICTは、NICTERプロジェクトの2017年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2017」 参照)。
NICTERのダークネット観測網(約30万IPアドレス)において2017年に観測されたサイバー攻撃関連通信は、合計1,504億パケットに上り、1 IPアドレス当たり約56万パケットが1年間に届いた計算になります(図1参照)。
 
図1. NICTERダークネット観測統計
図1. NICTERダークネット観測統計

年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、これを日本全体や政府機関への攻撃件数と考えるのは適切ではありません。
図2は、1 IPアドレス当たりの年間総観測パケット数を2005年からグラフ化したものです。2017年は2016年と比べて約1.2倍の増加となっています。2015年から2016年の約2.2倍に比べると増加率は低下しているものの、依然、サイバー攻撃関連通信は増加傾向にあることが分かります。
 
図2. 1 IPアドレス当たりの年間総観測パケット数
図2. 1 IPアドレス当たりの年間総観測パケット数
図3は、2017年にNICTERで観測した主な攻撃対象(宛先ポート番号)のトップ10を表しています。円グラフの青色の部分がWebカメラやモバイルルータなどのIoT機器に関連したサイバー攻撃関連通信であり、単純に合計すると半数以上がIoT機器をターゲットにしたパケットだったと考えられます。

図3. 宛先ポート番号別パケット数分布
図3. 宛先ポート番号別パケット数分布

2位の22/TCPには、モバイルルータではない一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。
2016年以前のIoT機器を狙ったサイバー攻撃は、単純なIDとパスワードが設定された機器への侵入という比較的容易な手法が用いられることがほとんどでした。ところが、2017年にはモバイルルータやホームルータなど、特定の機器に内在する脆弱性を狙った攻撃も多く観測されるようになってきており、IoT機器への攻撃手法は高度化していっています。
 
家庭や職場で使用しているIoT機器の所在を正確に把握し、それらを適切に設定・アップデートするなど、IoT機器にもセキュリティ対策が必要であるという認識を高めていくことが重要です。

今後の展望

NICTでは日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

NICTER観測レポート2017(詳細版)

用語解説

インシデント分析センター NICTER
NICTER(Network Incident analysis Center for Tactical Emergency Response)は、NICTにて研究開発されているコンピュータネットワーク上で発生する様々な情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステム。サイバー攻撃の観測やマルウェアの収集などによって得られた情報を相関分析し、その原因を究明する機能を持つ。
サイバー攻撃関連通信
ダークネットに届くパケットの総称。マルウェアに感染した機器がインターネット上で次の感染先を探すためのスキャンパケットや、DoS攻撃を受けているサーバからの跳ね返りパケット(バックスキャッタ)などが含まれる。
ダークネット
インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においてはまれであるが、実際にダークネットを観測してみると、相当数のパケットが到着することが分かる。これらのパケットの多くは、マルウェアの感染活動など、インターネットで発生している何らかの不正な活動に起因している。そのため、ダークネットに到着するパケットを観測することで、インターネット上の不正な活動の傾向把握が可能になる。

本件に関する問い合わせ先

サイバーセキュリティ研究所
サイバーセキュリティ研究室

井上 大介、久保 正樹

Tel: 042-327-6225

E-mail: nicter_$_ml.nict.go.jp

広報

広報部 報道室

廣田 幸子

Tel: 042-327-6923

Fax: 042-327-7587

E-mail: publicityアットマークnict.go.jp