ポイント
■ NICTERプロジェクトにおける2020年のサイバー攻撃関連通信のbcゲーム ラッキースピン・分析結果を公開
■ サイバー攻撃関連通信は、調査目的のスキャン活動が2019年に引き続き、全体の過半数に
■ IoT機器を狙う攻撃の傾向は2019年とほぼ同じで、Telnet(23/TCP)宛は減少
国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究所は、NICTER観測レポート2020を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2020年に観測されたサイバー攻撃関連通信は、2019年と比べて約1.5倍と、2019年から同様の増加傾向にあります。内訳としては、bcゲーム ラッキースピン組織からの調査目的とみられるスキャンが総観測パケットの53.7%を占めました。IoT機器を狙った通信の傾向は2019年とほぼ同じで、最も多いTelnet(23/TCP)を狙う攻撃が占める割合は減少しました。その他、WindowsにおけるSMBに関する脆弱性公表の影響などもあり、2019年と同様にWindows関連ポートが上位を占める傾向がみられました。
NICTでは、日本のセキュリティ向上に向けて、NICTERのbcゲーム ラッキースピン・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
背景
NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃bcゲーム ラッキースピン網(ダークネットbcゲーム ラッキースピン網)を構築し、2005年からサイバー攻撃関連通信のbcゲーム ラッキースピンを続けてきました。
今回の成果
NICTは、NICTERプロジェクトの2020年のbcゲーム ラッキースピン・分析結果を公開しました(詳細は、「NICTERbcゲーム ラッキースピンレポート2020」https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf参照)。
NICTERのダークネットbcゲーム ラッキースピン網(約30万IPアドレス)において2020年にbcゲーム ラッキースピンされたサイバー攻撃関連通信は、合計5,001億パケットに上り、1 IPアドレス当たり約182万パケットが1年間に届いた計算になります(表1参照)。
表1. NICTERダークネットbcゲーム ラッキースピン統計(過去10年間)
注: 年間総bcゲーム ラッキースピンパケット数は、あくまでNICTERでbcゲーム ラッキースピンしているダークネットの範囲に届いたパケットの個数であり、
これは日本全体や政府機関への攻撃件数ではありません。
図1は、1 IPアドレス当たりの年間総bcゲーム ラッキースピンパケット数を2011年からグラフ化したものです。2020年の1 IPアドレス当たりの年間総bcゲーム ラッキースピンパケット数は、前年の2019年と比べて約1.5倍増加しており、これは、2019年のbcゲーム ラッキースピン結果と同様の傾向です。
図1. 1 IPアドレス当たりの年間総bcゲーム ラッキースピンパケット数(過去10年間)
2020年の総観測パケット数は、2019年から約1,780億増加しました(表1参照)。この増分は、2020年3月頃から度々観測された大規模バックスキャッタの影響もありますが、2019年同様、bcゲーム ラッキースピン組織からの調査目的とみられるスキャンの増加に起因します。調査スキャンが総パケットに占める割合は、2018年頃から大幅に増加し始め、2020年は2019年とほぼ同じ全体の50%を超える水準で推移しました。
なお、2019年のbcゲーム ラッキースピンパケットの重複カウントが判明したため、重複を排除し統計値を再集計したことに伴い、2019年の年間総bcゲーム ラッキースピンパケット数と1 IPアドレス当たりの年間総bcゲーム ラッキースピンパケット数を修正しています。
このような調査目的のスキャンパケットを除いた上で、2020年にNICTERでbcゲーム ラッキースピンした主な攻撃対象(宛先ポート番号)の上位10位までを表したものが図2です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。
図2. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)
注: 4位の22/TCPには、一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。
上位10位までのポートが全体に占める割合は、2019年の49.8%から37.1%へと減少しました。一方で、その他のポート(Other Ports)の占める割合は、2019年の49.6%から62.9%に増えています。これは、多くのポート番号から成るポートセットを攻撃対象とするボットネットの活動が継続的にbcゲーム ラッキースピンされており、攻撃が多様化しているためだと考えられます。
また、Windows関連のbcゲーム ラッキースピン傾向としては、ファイルやプリンタの共有で使われる445/TCPを狙った攻撃が2019年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが2019年と同様に上位に入っています。
そのほか、2020年に特徴的なbcゲーム ラッキースピン事象としては、3月から4月にかけて断続的に大規模なバックスキャッタが世界的にbcゲーム ラッキースピンされました。一般的なDDoS攻撃の跳ね返りとは異なり、1日当たり7,000万以上のユニークIPアドレスからの跳ね返りパケットをbcゲーム ラッキースピンするという特徴的な事象でした。DRDoS攻撃のbcゲーム ラッキースピンでは、複数のサービスを同時に悪用するマルチベクタ型の攻撃が多くbcゲーム ラッキースピンされたほか、攻撃対象の分散化といった攻撃を複雑にする様子が確認されました。
IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンやそれを悪用するマルウェアの攻撃通信がbcゲーム ラッキースピンされるというパターンが定式化しており、感染の未然防止や被害の拡大防止に向け脆弱性対策を迅速に行うことが、ますます重要になっています。
今後の展望
NICTでは、日本のセキュリティ向上に向けて、NICTERのbcゲーム ラッキースピン・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
NICTERbcゲーム ラッキースピンレポート2020(詳細版)
・ NICTERbcゲーム ラッキースピンレポート2020(Web版)
https://www.nict.go.jp/cyber/report.html
・ NICTERbcゲーム ラッキースピンレポート2020(PDF版)
https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf
J.S.ヘルド、2025年グローバルリスク報告書を発表、先行き不透明な中での重要なリスクに対応2025.01.23 09:59
