NICTER観測レポート2020の公開

ポイント

NICTERプロジェクトにおける2020年のサイバー攻撃関連通信の観測・分析結果を公開
サイバー攻撃関連通信は、調査目的のスキャン活動が2019年に引き続き、全体の過半数に
IoT機器を狙う攻撃の傾向は2019年とほぼ同じで、Telnet（23/TCP）宛は減少

国立研究開発法人情報通信研究機構（NICT、理事長: 徳田英幸）サイバーセキュリティ研究所は、NICTER観測レポート2020を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2020年に観測されたサイバー攻撃関連通信は、2019年と比べて約1.5倍と、2019年から同様の増加傾向にあります。内訳としては、海外組織からの調査目的とみられるスキャンが総観測パケットの53.7%を占めました。IoT機器を狙った通信の傾向は2019年とほぼ同じで、最も多い Telnet（23/TCP）を狙う攻撃が占める割合は減少しました。その他、Windowsにおける SMBに関する脆弱性公表の影響などもあり、2019年と同様にWindows関連ポートが上位を占める傾向がみられました。

NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

背景

NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網（ダークネット観測網）を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。

今回の成果

NICTは、NICTERプロジェクトの2020年の観測・分析結果を公開しました（詳細は、「NICTER観測レポート2020」参照）。

NICTERのダークネット観測網（約30万IPアドレス）において2020年に観測されたサイバー攻撃関連通信は、合計5,001億パケットに上り、1 IPアドレス当たり約182万パケットが1年間に届いた計算になります（表1参照）。

表1. NICTERダークネット観測統計（過去10年間）

図1は、1 IPアドレス当たりの年間総観測パケット数を2011年からグラフ化したものです。2020年の1 IPアドレス当たりの年間総観測パケット数は、前年の2019年と比べて約1.5倍増加しており、これは、2019年の観測結果と同様の傾向です。

2020年の総観測パケット数は、2019年から約1,780億増加しました（表1参照）。この増分は、2020年3月頃から度々観測された大規模バックスキャッタの影響もありますが、2019年同様、海外組織からの調査目的とみられるスキャンの増加に起因します。調査スキャンが総パケットに占める割合は、2018年頃から大幅に増加し始め、2020年は2019年とほぼ同じ全体の50%を超える水準で推移しました。

なお、2019年の観測パケットの重複カウントが判明したため、重複を排除し統計値を再集計したことに伴い、2019年の年間総観測パケット数と1 IPアドレス当たりの年間総観測パケット数を修正しています。

このような調査目的のスキャンパケットを除いた上で、2020年にNICTERで観測した主な攻撃対象（宛先ポート番号）の上位10位までを表したものが図2です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。

図2. 宛先ポート番号別パケット数分布（調査目的のスキャンパケットを除く）
注: 4位の22/TCPには、一般的な認証サーバ（SSH）へのスキャンパケットも含まれます。また、その他のポート番号（Other Ports）の中にはIoT機器を狙ったパケットも多数含まれます。

上位10位までのポートが全体に占める割合は、2019年の49.8％から37.1%へと減少しました。一方で、その他のポート（Other Ports）の占める割合は、2019年の49.6%から62.9%に増えています。これは、多くのポート番号から成るポートセットを攻撃対象とするボットネットの活動が継続的に観測されており、攻撃が多様化しているためだと考えられます。

また、Windows関連の観測傾向としては、ファイルやプリンタの共有で使われる445/TCPを狙った攻撃が2019年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが2019年と同様に上位に入っています。

そのほか、2020年に特徴的な観測事象としては、3月から4月にかけて断続的に大規模なバックスキャッタが世界的に観測されました。一般的なDDoS攻撃の跳ね返りとは異なり、1日当たり7,000万以上のユニークIPアドレスからの跳ね返りパケットを観測するという特徴的な事象でした。DRDoS攻撃の観測では、複数のサービスを同時に悪用するマルチベクタ型の攻撃が多く観測されたほか、攻撃対象の分散化といった攻撃を複雑にする様子が確認されました。

IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンやそれを悪用するマルウェアの攻撃通信が観測されるというパターンが定式化しており、感染の未然防止や被害の拡大防止に向け脆弱性対策を迅速に行うことが、ますます重要になっています。

今後の展望

NICTER観測レポート2020（詳細版）

用語解説

インシデント分析センター NICTER

NICTER（Network Incident analysis Center for Tactical Emergency Response）は、NICTが研究開発している、コンピュータネットワーク上で発生する様々な情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステム。サイバー攻撃の観測やマルウェアの収集などによって得られた情報を相関分析し、その原因を究明する機能を持つ。

図3. NICTER Atlas によるダークネットで観測された通信の可視化
元の記事へ

サイバー攻撃関連通信

ダークネットに届くパケットの総称。マルウェアに感染した機器がインターネット上で次の感染先を探すためのスキャンパケットや、DoS攻撃を受けているサーバからの跳ね返りパケット（バックスキャッタ）などが含まれる。

元の記事へ

Telnet（23/TCP）

コンピュータを遠隔から操作するために用いられるプログラムで23/TCP番ポートが使われることが多い。設計が古く通信内容が暗号化されない等の問題があるが、現在でも一部のIoT機器で使われている。ユーザ名とパスワードを入力してログインする仕組みであるが、IoT機器等でよく使われるユーザ名とパスワードの組が攻撃者に知られており、IoTマルウェア「Mirai」の感染拡大に悪用された。

元の記事へ

SMB

Server Message Block（SMB）はWindowsなどで利用される通信プロトコルで、ファイル共有やプリンタ共有のために用いられる。2020年にはWindowsにおけるSMBの実装に関する深刻な脆弱性が複数公開され、JPCERT/CCや警察庁から注意喚起が行われた。Microsoftからは更新プログラムの適用が強く推奨されている。

元の記事へ

ダークネット

インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においてはまれであるが、実際にダークネットを観測してみると、相当数のパケットが到着することが分かる。これらのパケットの多くは、マルウェアの感染活動など、インターネットで発生している何らかの不正な活動に起因している。そのため、ダークネットに到着するパケットを観測することで、インターネット上の不正な活動の傾向把握が可能になる。

元の記事へ