NICTER観測レポート2022の公開

2023年2月14日

国立研究開発法人情報通信研究機構

ポイント

  • NICTERプロジェクトにおける2022年のサイバー攻撃関連通信の観測・分析結果を公開
  • Telnet(23/TCP)宛攻撃の割合が増加に転じたほか、IoT機器のゼロデイ脆弱性を悪用した攻撃を観測
  • DRDoS攻撃観測では、攻撃件数の減少、攻撃時間の増加、攻撃に悪用されるサービスの種類の増加を観測
国立研究開発法人情報通信研究機構(NICTエヌアイシーティー、理事長: 徳田 英幸)サイバーセキュリティネクサスは、NICTER観測レポート2022を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2022年に観測されたサイバー攻撃関連通信は、2021年と比べ僅かに増加し、Telnet(23/TCP)を狙う攻撃の割合が増加しました。個別の観測事象としては、複数のDVR製品へのMiraiの感染が観測されましたが、NICTERプロジェクトでは製品ベンダの協力の下、脆弱性の調査や実機を使った攻撃観測を実施し、ゼロデイ脆弱性を悪用する攻撃が脆弱な機器に対してピンポイントで行われている実態を明らかにしました。DRDoS攻撃の観測では、大規模な絨毯爆撃型のDRDoS攻撃の規模の縮小によるDRDoS攻撃件数の減少、攻撃の継続時間の長時間化、及び攻撃に悪用されるサービスの種類の増加といった傾向の変化が見られました。
NICTは、日本のサイバーセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、セキュリティ対策の研究開発を進めていきます。

背景

NICTは、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。2021年4月1日(木)に、サイバーセキュリティ分野の産学官の『結節点』となることを目指した新組織サイバーセキュリティネクサス(Cybersecurity Nexus: CYNEXサイネックス )が発足し、そのサブプロジェクトの一つであるCo-Nexus Sにおいてサイバーセキュリティ関連の情報発信を行っています。

今回の成果

CYNEXは、NICTERプロジェクトの2022年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2022」 参照)。
NICTERのダークネット観測網(約29万IPアドレス)において2022年に観測されたサイバー攻撃関連通信は、合計5,226億パケットに上り、1 IPアドレス当たり約183万パケットが1年間に届いた計算になります(表1参照)。

表1. NICTERダークネット観測統計(過去10年間)
表1
注: 年間総観測パケット数は、全観測期間について集計方法の見直しを行い、全ダークネットセンサ宛に届いた全パケット数に統一しました。そのため、本レポートの観測統計値は、過去に公開したNICTER観測レポートの公表値と異なります。なお、数値はレポート作成時点のデータベースの値に基づきますが、集計後にデータベースの再構築等が行われ、数値が増減することがあります。総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数を示すものであり、日本全体や政府機関に対する攻撃件数ではありません。
ダークネットIPアドレス数は、当該年12月31日にパケットを受信したアクティブセンサ数を示します。アクティブなセンサの数は、年間を通じて一定ではなく変化することがあります。

図1は、1 IPアドレス当たりの年間総観測パケット数を2013年からグラフ化したものです。2022年の1 IPアドレス当たりの年間総観測パケット数は、前年の2021年から僅かな増加を見せたものの、ほぼ同じ水準で推移しました。

図1
図1. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)

また、総観測パケットに占める海外組織からの調査目的とみられるスキャンの割合は約54.9%と半数以上を占めました。2019年以降、半数以上を占める傾向が続いています。
このような調査目的のスキャンパケットを除いた上で、2022年にNICTERで観測した主な攻撃対象(宛先ポート番号)の上位10位までを表したものが図2です。円グラフの水色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。

図2
図2. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)
注: 2位の22/TCPには、一般的なサーバ(認証サーバなど)へのスキャンパケットも含まれます。また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットが多数含まれます。
[画像クリックで拡大表示]

上位10位までのポートが全体に占める割合は、2020年以降減少傾向にありましたが2022年は増加に転じ、2021年の31.3%から42.8%へと増えました。この増加の主な要因は、IoT機器で依然として使用されているTelnet(23/TCP)を狙った攻撃が占める割合が、2021年の11.0%から23.0%へと増加したことにあります。IoT機器が使用する特徴的なポート番号はこれまでにもボットネットの攻撃対象として多く観測されていましたが、2022年は特に23/TCPを含むポートセット宛の攻撃が活発に観測されました。
Windowsに関連するポートの観測は、上位10位中では445/TCP(ファイル共有等で使われる)のみにとどまり、その順位も2021年3位から8位へと後退しました。NoSQLデータベースのRedisで使われる6379/TCPやコンテナ型仮想実行環境を提供するDockerにおいて遠隔管理の機能を提供するDocker REST APIの2375/TCPと2376/TCPは上位に観測され、これらのサービスを狙う攻撃が2021年から継続しています。
そのほか、2022年に特徴的な観測事象としては、日本国内において複数のDVR製品がMiraiに感染し、DDoS攻撃の踏み台として悪用される事象が発生しました。NICTERプロジェクトでは、製品開発者の協力の下、機器の脆弱性を調査し、製品開発者が存在を知らない未知の脆弱性が存在することを明らかにしたほか、この脆弱性を悪用する攻撃が対象となる機器のみに対してピンポイントで送られている実態を観測しました。
DRDoS攻撃の観測では、2021年に多く見られた絨毯爆撃型のDRDoS攻撃の規模が縮小し、その結果、DRDoS攻撃件数が減少して2020年の水準に戻ったほか、1時間以上継続した攻撃の割合が前年の約2.9%から約16%へと増加し、攻撃に悪用されるサービスの種類についても前年の38種類から151種類に増加するといった傾向の変化が見られました。
インターネット全体を広範囲にスキャンすることで脆弱なIoT機器やサーバ等を探索する活動は、引き続き活発に観測されている一方で、脆弱性を悪用する攻撃コードが攻撃対象の機器のみに対して送られている様子も観測されています。インシデントに関する情報を迅速に共有し、対策方法の検討や啓発、被害の拡大防止に向けた脆弱性対策を迅速に行うことが、ますます重要になっています。

今後の展望

NICTでは、日本のサイバーセキュリティ向上のため、CYNEXが産学官の結節点となり、サイバーセキュリティ関連情報の発信力の更なる強化を行うとともに、セキュリティ対策の研究開発を進めていきます。

NICTER観測レポート2022(詳細版)

用語解説

サイバーセキュリティネクサス

2021年4月1日(木)に、サイバーセキュリティ分野の産学官の『結節点』となることを目指して、NICT内に発足した新組織サイバーセキュリティネクサス(Cybersecurity Nexus: CYNEXサイネックス )は、4つのサブプロジェクトCo-Nexus A/S/E/Cから構成される。


インシデント分析センター NICTER

NICTER(Network Incident analysis Center for Tactical Emergency Response)は、NICTが研究開発している、コンピュータネットワーク上で発生する様々な情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステムである。サイバー攻撃の観測やマルウェアの収集などによって得られた情報を相関分析し、その原因を究明する機能を持つ。

図3
図3. NICTER Atlasによるダークネットで観測された通信の可視化


サイバー攻撃関連通信

ダークネットに届くパケットの総称。マルウェアに感染した機器がインターネット上で次の感染先を探すためのスキャンパケットや、DoS攻撃を受けているサーバからの跳ね返りパケット(バックスキャッタ)などが含まれる。


Mirai

家庭用ルータやネットワークカメラといったIoT機器に感染するマルウェアの一種。Miraiに感染した機器はDoS攻撃の踏み台として悪用され、攻撃対象のホストに大量のパケットを送信させられる。


ゼロデイ脆弱性

ソフトウェア製品の脆弱性の中でも開発者がその存在を知らず、修正パッチ等の対策が提供されていないもの。


DRDoS攻撃

DRDoS攻撃(Distributed Reflection Denial-of-Service Attack)とは、インターネット上のDNSやNTP等のサーバを悪用して攻撃対象に大量のパケットを送付し、攻撃対象のネットワーク帯域を圧迫するDDoS攻撃の一種のこと。


絨毯爆撃型

単一のIPアドレスではなく主に同一ネットワーク内の広い範囲のIPアドレスに対して行われる攻撃。


ダークネット

インターネット上で到達可能かつ未使用のIPアドレス空間のことを指す。未使用のIPアドレスに対しパケットが送信されることは、通常のインターネット利用の範囲においてはまれであるが、実際にダークネットを観測してみると、相当数のパケットが到着することが分かる。これらのパケットの多くは、マルウェアの感染活動など、インターネットで発生している何らかの不正な活動に起因している。そのため、ダークネットに到着するパケットを観測することで、インターネット上の不正な活動の傾向把握が可能になる。

本件に関する問合せ先

サイバーセキュリティ研究所
サイバーセキュリティネクサス

井上 大介、久保 正樹

広報(取材受付)

広報部 報道室