2020年2月10日
国立研究開発法人情報通信研究機構(NICT)
NICTER観測レポート2019の公開
【ポイント】 ■ NICTERプロジェクトにおける2019年のサイバー攻撃関連通信の観測・分析結果を公開
■ サイバー攻撃関連通信は、調査目的のスキャン活動が2018年より活発化し、全体の過半数に
■ IoT機器を狙う攻撃の傾向は2018年とほぼ同じで、Telnet(23/TCP)宛が僅かに増加
国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究所は、NICTER観測レポート2019を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2019年に観測されたサイバー攻撃関連通信は、2018年と比べて約1.5倍と昨年以上の増加傾向にあります。内訳としては、海外組織からの調査目的とみられるスキャンの増加が著しく、総観測パケットの53%を占めました。IoT 機器を狙った通信の傾向は2018年とほぼ同じで、最も多いTelnet(23/TCP)を狙う攻撃が占める割合は僅かに増加しました。その他、Windowsのリモートデスクトップの脆弱性公表の影響などもあり、昨年より多くのWindows関連ポートが上位を占める傾向がみられました。
NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
【背景】 NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。
【今回の成果】 NICTは、NICTERプロジェクトの2019年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2019」 https://www.nict.go.jp/cyber/report/NICTER_report_2019.pdf参照)。
NICTERのダークネット観測網(約30万IPアドレス)において2019年に観測されたサイバー攻撃関連通信は、合計3,279億パケットに上り、1 IPアドレス当たり約120万パケットが1年間に届いた計算になります(図1参照)。
図1 NICTERダークネット観測統計(過去10年間)
注: 年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、これは日本全体や政府機関への攻撃件数ではありません。
図2は、1 IPアドレス当たりの年間総観測パケット数を2010年からグラフ化したものです。2019年の総観測パケット数は、2018年から約1,160億増加しましたが、この増分は、海外組織からの調査目的とみられるスキャンが昨年以上に増加したことに起因します。調査スキャンが総パケットに占める割合は、2017年の6.8%、2018年の35%から更に増加し、2019年は1,750億パケット(総パケットの53%)にも及ぶことが判明しました。
図2 1IPアドレス当たりの年間総観測パケット数(過去10年間)
このような調査目的のスキャンパケットを除いた上で、2019年にNICTERで観測した主な攻撃対象(宛先ポート番号)の上位11位までを表したものが図3です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。
図3 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)
注: 3位の22/TCPには、一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。
上位10位までのポートが全体に占める割合は、2018年の46%から49%へと僅かに増加しました。増加の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が294億パケットから364億パケットへと僅かに増加したことが挙げられます。
その他のポート(Other Ports)の占める割合は全体の半数と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃です。この傾向は、2018年とほぼ同じ傾向です。
また、Windows関連の観測傾向としては、ファイルやプリンタの共有で使われる445/TCPを狙った攻撃が昨年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが上位に入っています。
そのほか、2019年に特徴的な観測事象としては、SSL-VPN製品の脆弱性公表後に、これを悪用する攻撃が世界的に観測されました。また、ボットに感染したホストが、これまでに観測されなかった新しいポートの組合せで攻撃する事象も観測されています。DRDoS攻撃の観測では、複数のサービスを同時に悪用するマルチベクタ型の攻撃が多く観測されたほか、単一のIPアドレスではなく、AS全体を狙う攻撃も観測されています。
IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンやそれを悪用するマルウェアの攻撃通信が観測されるというパターンが定式化しており、感染の未然防止や被害の拡大防止に向け脆弱性対策を迅速に行うことが、ますます重要になっています。
【今後の展望】 NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
【NICTER観測レポート2019(詳細版)】 ・ NICTER観測レポート2019(Web版)
https://www.nict.go.jp/cyber/report.html
・ NICTER観測レポート2019(PDF版)
https://www.nict.go.jp/cyber/report/NICTER_report_2019.pdf
図4 NICTER Atlas によるダークネットで観測された通信の可視化
国立研究開発法人情報通信研究機構(NICT)
NICTER観測レポート2019の公開
【ポイント】 ■ NICTERプロジェクトにおける2019年のサイバー攻撃関連通信の観測・分析結果を公開
■ サイバー攻撃関連通信は、調査目的のスキャン活動が2018年より活発化し、全体の過半数に
■ IoT機器を狙う攻撃の傾向は2018年とほぼ同じで、Telnet(23/TCP)宛が僅かに増加
国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究所は、NICTER観測レポート2019を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2019年に観測されたサイバー攻撃関連通信は、2018年と比べて約1.5倍と昨年以上の増加傾向にあります。内訳としては、海外組織からの調査目的とみられるスキャンの増加が著しく、総観測パケットの53%を占めました。IoT 機器を狙った通信の傾向は2018年とほぼ同じで、最も多いTelnet(23/TCP)を狙う攻撃が占める割合は僅かに増加しました。その他、Windowsのリモートデスクトップの脆弱性公表の影響などもあり、昨年より多くのWindows関連ポートが上位を占める傾向がみられました。
NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
【背景】 NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。
【今回の成果】 NICTは、NICTERプロジェクトの2019年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2019」 https://www.nict.go.jp/cyber/report/NICTER_report_2019.pdf参照)。
NICTERのダークネット観測網(約30万IPアドレス)において2019年に観測されたサイバー攻撃関連通信は、合計3,279億パケットに上り、1 IPアドレス当たり約120万パケットが1年間に届いた計算になります(図1参照)。
図1 NICTERダークネット観測統計(過去10年間)
注: 年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、これは日本全体や政府機関への攻撃件数ではありません。
図2は、1 IPアドレス当たりの年間総観測パケット数を2010年からグラフ化したものです。2019年の総観測パケット数は、2018年から約1,160億増加しましたが、この増分は、海外組織からの調査目的とみられるスキャンが昨年以上に増加したことに起因します。調査スキャンが総パケットに占める割合は、2017年の6.8%、2018年の35%から更に増加し、2019年は1,750億パケット(総パケットの53%)にも及ぶことが判明しました。
図2 1IPアドレス当たりの年間総観測パケット数(過去10年間)
このような調査目的のスキャンパケットを除いた上で、2019年にNICTERで観測した主な攻撃対象(宛先ポート番号)の上位11位までを表したものが図3です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。
図3 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)
注: 3位の22/TCPには、一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。
上位10位までのポートが全体に占める割合は、2018年の46%から49%へと僅かに増加しました。増加の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が294億パケットから364億パケットへと僅かに増加したことが挙げられます。
その他のポート(Other Ports)の占める割合は全体の半数と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃です。この傾向は、2018年とほぼ同じ傾向です。
また、Windows関連の観測傾向としては、ファイルやプリンタの共有で使われる445/TCPを狙った攻撃が昨年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが上位に入っています。
そのほか、2019年に特徴的な観測事象としては、SSL-VPN製品の脆弱性公表後に、これを悪用する攻撃が世界的に観測されました。また、ボットに感染したホストが、これまでに観測されなかった新しいポートの組合せで攻撃する事象も観測されています。DRDoS攻撃の観測では、複数のサービスを同時に悪用するマルチベクタ型の攻撃が多く観測されたほか、単一のIPアドレスではなく、AS全体を狙う攻撃も観測されています。
IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンやそれを悪用するマルウェアの攻撃通信が観測されるというパターンが定式化しており、感染の未然防止や被害の拡大防止に向け脆弱性対策を迅速に行うことが、ますます重要になっています。
【今後の展望】 NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
【NICTER観測レポート2019(詳細版)】 ・ NICTER観測レポート2019(Web版)
https://www.nict.go.jp/cyber/report.html
・ NICTER観測レポート2019(PDF版)
https://www.nict.go.jp/cyber/report/NICTER_report_2019.pdf
図4 NICTER Atlas によるダークネットで観測された通信の可視化