ポイント

  • NICTERプロジェクトにおける2018年のサイバー攻撃関連通信の観測・分析結果を公開
  • サイバー攻撃関連通信は、調査目的のスキャン活動が2017年よりも活発化、依然増加傾向に
  • IoT機器を狙う攻撃の傾向が変化し、仮想通貨の採掘や、Android 機器への攻撃拡大も
NICTサイバーセキュリティ研究所は、NICTER観測レポート2018を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2018年に観測されたサイバー攻撃関連通信は、2017年と比べて約1.4倍と昨年以上の増加傾向にあります。内訳としては、海外組織からの調査目的と見られるスキャンの増加が著しく、総観測パケット数の35%を占めました。IoT機器を狙った通信では、2017年に4割近くを占めていたTelnet(23/TCP)を狙う攻撃が減少する一方、IoT機器に固有の脆弱性を狙う攻撃が増加し、攻撃対象や攻撃手法が細分化している様子が観測されています。
NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
 

背景

NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。

今回の成果

NICTは、NICTERプロジェクトの2018年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2018」 参照)。
NICTERのダークネット観測網(約30万IPアドレス)において2018年に観測されたサイバー攻撃関連通信は、合計2,121億パケットに上り、1 IPアドレス当たり約79万パケットが1年間に届いた計算になります(図1参照)。
図1. NICTERダークネット観測統計(過去10年間)
図1. NICTERダークネット観測統計(過去10年間)

注: 年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、これを日本全体や政府機関への攻撃件数と考えるのは適切ではありません。

図2は、1 IPアドレス当たりの年間総観測パケット数を2009年からグラフ化したものです。2018年の総観測パケット数は、2017年から約600億増加しましたが、この増分を分析した結果、海外組織からの調査目的と見られるスキャンが総パケットに占める割合が、2017年の6.8%から2018年は35%へと大幅に増加し、753億パケット(総パケットの35%)にも及ぶことが判明しました。

図2. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)
図2. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)
このような調査目的のスキャンパケットを除いた上で、2018年にNICTERで観測した主な攻撃対象(宛先ポート番号)のトップ10を表したものが図3です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。

図3. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)
図3. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)

注: 4位の22/TCPには、一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。
また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。Other Portsの占める割合は、全体の半数以上と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェイス用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数が IoT 機器で動作するサービスや脆弱性を狙った攻撃です。
2017年には、これらトップ10のポートが全体の半数以上を占めていましたが、2018年は、46%とおよそ半数に減少しています。減少の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が548億パケットから294億パケットへと大きく減少したことが挙げられます。その他のポート(Other Ports)の占める割合は、全体の半数以上と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェイス用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数が IoT 機器で動作するサービスや脆弱性を狙った攻撃です。
2018年に特徴的な観測事象としては、その他にも、IoT機器が仮想通貨採掘を強要する悪性プログラムに大規模感染する事象や、Android OSを搭載する様々な IoT 機器を狙った感染活動も観測しています。NICTERで新たに発見した脆弱性やインシデントについては、関連組織への報告や情報共有を行いました。
IoT機器の脆弱性が公開されると、その脆弱性を悪用するマルウェアの攻撃通信が観測されるというパターンが一般化しており、IoT機器の脆弱性対策は、感染の未然防止や被害の拡大防止の観点で、ますます重要になってきていると考えられます。

今後の展望

NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

NICTER観測レポート2018(詳細版)

用語解説

インシデント分析センター NICTER
NICTER(Network Incident analysis Center for Tactical Emergency Response)は、NICTにて研究開発されているコンピュータネットワーク上で発生する様々な情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステム。サイバー攻撃の観測やマルウェアの収集などによって得られた情報を相関分析し、その原因を究明する機能を持つ。
サイバー攻撃関連通信
ダークネットに届くパケットの総称。マルウェアに感染した機器がインターネット上で次の感染先を探すためのスキャンパケットや、DoS攻撃を受けているサーバからの跳ね返りパケット(バックスキャッタ)などが含まれる。
ダークネット
インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においてはまれであるが、実際にダークネットを観測してみると、相当数のパケットが到着することが分かる。これらのパケットの多くは、マルウェアの感染活動など、インターネットで発生している何らかの不正な活動に起因している。そのため、ダークネットに到着するパケットを観測することで、インターネット上の不正な活動の傾向把握が可能になる。

本件に関する問い合わせ先

サイバーセキュリティ研究所
サイバーセキュリティ研究室

井上 大介、久保 正樹

Tel: 042-327-6225

E-mail: nicterアットマークml.nict.go.jp

広報

広報部 報道室

廣田 幸子

Tel: 042-327-6923

Fax: 042-327-7587

E-mail: publicityアットマークnict.go.jp