ポイント

  • NICTERプロジェクトにおける2019年のサイバー攻撃関連通信の観測・分析結果を公開
  • サイバー攻撃関連通信は、調査目的のスキャン活動が2018年より活発化し、全体の過半数に
  • IoT機器を狙う攻撃の傾向は2018年とほぼ同じで、Telnet(23/TCP)宛が僅かに増加
国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究所は、NICTER観測レポート2019を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2019年に観測されたサイバー攻撃関連通信は、2018年と比べて約1.5倍と昨年以上の増加傾向にあります。内訳としては、海外組織からの調査目的とみられるスキャンの増加が著しく、総観測パケットの53%を占めました。IoT 機器を狙った通信の傾向は2018年とほぼ同じで、最も多いTelnet(23/TCP)を狙う攻撃が占める割合は僅かに増加しました。その他、Windowsのリモートデスクトップの脆弱性公表の影響などもあり、昨年より多くのWindows関連ポートが上位を占める傾向がみられました。
NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

背景

NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。

今回の成果

NICTは、NICTERプロジェクトの2019年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2019」 参照)。
NICTERのダークネット観測網(約30万IPアドレス)において2019年に観測されたサイバー攻撃関連通信は、合計3,279億パケットに上り、1 IPアドレス当たり約120万パケットが1年間に届いた計算になります(図1参照)。
図1
図1. NICTERダークネット観測統計(過去10年間)

注: 年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、これは日本全体や政府機関への攻撃件数ではありません。
図2は、1 IPアドレス当たりの年間総観測パケット数を2010年からグラフ化したものです。2019年の総観測パケット数は、2018年から約1,160億増加しましたが、この増分は、海外組織からの調査目的とみられるスキャンが昨年以上に増加したことに起因します。調査スキャンが総パケットに占める割合は、2017年の6.8%、2018年の35%から更に増加し、2019年は1,750億パケット(総パケットの53%)にも及ぶことが判明しました。

図2
図2. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)
このような調査目的のスキャンパケットを除いた上で、2019年にNICTERで観測した主な攻撃対象(宛先ポート番号)の上位11位までを表したものが図3です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。

図3
図3. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)

注: 3位の22/TCPには、一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。
上位10位までのポートが全体に占める割合は、2018年の46%から49%へと僅かに増加しました。増加の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が294億パケットから364億パケットへと僅かに増加したことが挙げられます。
その他のポート(Other Ports)の占める割合は全体の半数と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃です。この傾向は、2018年とほぼ同じ傾向です。
また、Windows関連の観測傾向としては、ファイルやプリンタの共有で使われる445/TCPを狙った攻撃が昨年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが上位に入っています。
そのほか、2019年に特徴的な観測事象としては、SSL-VPN製品の脆弱性公表後に、これを悪用する攻撃が世界的に観測されました。また、ボットに感染したホストが、これまでに観測されなかった新しいポートの組合せで攻撃する事象も観測されています。DRDoS攻撃の観測では、複数のサービスを同時に悪用するマルチベクタ型の攻撃が多く観測されたほか、単一のIPアドレスではなく、AS全体を狙う攻撃も観測されています。
IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンやそれを悪用するマルウェアの攻撃通信が観測されるというパターンが定式化しており、感染の未然防止や被害の拡大防止に向け脆弱性対策を迅速に行うことが、ますます重要になっています。

今後の展望

NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

NICTER観測レポート2019(詳細版)

用語解説

インシデント分析センター NICTER
NICTER(Network Incident analysis Center for Tactical Emergency Response)は、NICTが研究開発している、コンピュータネットワーク上で発生する様々な情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステム。サイバー攻撃の観測やマルウェアの収集などによって得られた情報を相関分析し、その原因を究明する機能を持つ。
図4
図4. NICTER Atlas によるダークネットで観測された通信の可視化
サイバー攻撃関連通信
ダークネットに届くパケットの総称。マルウェアに感染した機器がインターネット上で次の感染先を探すためのスキャンパケットや、DoS攻撃を受けているサーバからの跳ね返りパケット(バックスキャッタ)などが含まれる。
Telnet(23/TCP)
コンピュータを遠隔から操作するために用いられるプログラムで23/TCP番ポートが使われることが多い。設計が古く通信内容が暗号化されない等の問題があるが、現在でも一部のIoT機器で使われている。ユーザ名とパスワードを入力してログインする仕組みであるが、IoT機器等でよく使われるユーザ名とパスワードの組が攻撃者に知られており、IoTマルウェア「Mirai」の感染拡大に悪用された。
ダークネット
インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においてはまれであるが、実際にダークネットを観測してみると、相当数のパケットが到着することが分かる。これらのパケットの多くは、マルウェアの感染活動など、インターネットで発生している何らかの不正な活動に起因している。そのため、ダークネットに到着するパケットを観測することで、インターネット上の不正な活動の傾向把握が可能になる。
SSL-VPN製品
遠隔から企業内ネットワークにVPN接続するのに用いられる製品の一種。通常、VPN接続には専用のクライアントソフトが用いられることが多いが、SSL-VPN ではウェブブラウザが用いられるため、汎用性が高く、規模の大きな組織で利用されている。
DRDoS攻撃
DRDoS攻撃(Distributed Reflection Denial-of-Service Attack)とは、インターネット上のDNSやNTP等のサーバを悪用して攻撃対象に大量のパケットを送付し、攻撃対象のネットワーク帯域を圧迫するDDoS攻撃の一種のこと。
AS
「Autonomous System」の略。インターネット・サービス・プロバイダや大学など、決められたポリシーに従って運用されるネットワークの集まりを指す。個々のASには番号が割り当てられ、これによりインターネット上で一意に識別される。

本件に関する問い合わせ先

サイバーセキュリティ研究所
サイバーセキュリティ研究室

井上 大介、久保 正樹

Tel: 042-327-6225

E-mail: nicterアットマークml.nict.go.jp

広報(取材受付)

広報部 報道室

廣田 幸子

Tel: 042-327-6923

E-mail: publicityアットマークnict.go.jp