セキュリティ製品などを手がけるソフトバンクグループ「BBソフトサービス」と、ダークネット監視サービス「SiteVisor」を開発・運用するクルウィットは6月17日、IoT機器やサイバー攻撃の実態を可視化することを目的としたダークネット観測リポート(2021年1月~3月分)を発行した。
ダークネットとは、インターネットで到達可能なものの、実際にはどのネットワークやコンピューターにも割り当てられていない未使用IPアドレス群を指す(グローバルIPアドレス空間またはローカルIPアドレス空間における、未使用のIPアドレス群)。
クルウィットは、そのダークネットを活用しIoT機器やPCを監視する対サイバー攻撃アラートサービス「SiteVisor」を提供している。SiteVisorは、国立研究開発法人情報通信研究機構(NICT)が研究開発した「DAEDALUS」(ダイダロス)をクルウィットが商用化したものだ。
SiteVisorでは、未使用IPアドレス(ダークネット)に観測機器を配置し、そのIPアドレス宛てに「どのような攻撃を想定した通信があったか」を調査しており、観測データを基に攻撃傾向をダークネット観測リポートとしてまとめている。
未使用IPアドレス宛てパケット数の観測
2021年1月~3月におけるダークネット宛てパケット数の項目では、1月と2月はIoT関連のマルウエアが利用するポートへのスキャンが増加、3月は脆弱性がある製品・ソフトウェアの探索が目的とうかがえるスキャンの増加を観測した。探索活動はサイバー攻撃の第1歩となるため、引き続きソフトウェアのアップデートや定義ファイルの更新などを定期的に行うことが重要となる。
ダークネット宛てに通信を行ったホスト数
当該期間におけるダークネット宛てに通信を行ったホスト数については、図の観測結果となった。2021年3月にホスト数の増加が見られるが、これは送信元IPアドレスを詐称したICMPパケットによるものという。通常ICMPパケットは、一般的に利用されている、IPアドレス通信の補助パケットにあたり、このような通信も利用してサイバー攻撃がしかけられる。
宛先ポート番号
ダークネット宛への宛先ポート番号の観測状況については、445/TCP(microsoft-ds)と1433/TCP(ms-sql-s)といった、Windows系ホストを狙った通信が従来から続いている。現在のIoTマルウエアは、23番ポート以外にも1024番ポート以上のポートと組み合わせて利用しており、1024番以上のポートへのスキャンも増加している。
送信元の国別観測状況
ダークネット宛に通信を行った国別状況については、次のような観測結果となった。
ダークネット観測リポートの考察によれば、2020年4月から2021年3月まで継続的に感染先・侵入先を探索する通信が行われており、予断を許さない状況が続いているという。これら探索パケットは、昨今の企業の情報漏えいのきっかけになっている可能性もあるそうだ。個人・法人含め、PCおよびソフトウェアの脆弱性や、見落とされがちなIoT機器のセキュリティ対策などの対策を確実に行い、感染・侵入されないよう対策を行う必要があるとしている。
また、2021年度も同様の傾向は続くことが予想され、特に世界的なイベントや国際情勢によりサイバー攻撃が増加する傾向があるという。すべてのインターネット利用者の端末がサイバー攻撃を行うための調査・危険にさらされているという意識を持ち、継続的なセキュリティ対策が重要とまとめている。
関連記事
・バイデン大統領が「国家の情報セキュリティ改善の大統領令」に署名、サイバーセキュリティ対策の近代化を打ち出す
・米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
・FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
・IoT検索エンジン「Karma」がセキュリティリスクを可視化する新機能を追加
・匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出