IoT関連マルウェアが利用するポートへのスキャンや脆弱性ある製品の探索が増加、ダークネットの観測リポートより

IoT関連マルウェアが利用するポートへのスキャンや脆弱性ある製品の探索が増加、ダークネットの観測リポートより

セキュリティ製品などを手がけるソフトバンクグループ「BBソフトサービス」と、ダークネット監視サービス「SiteVisor」を開発・運用するクルウィットは6月17日、IoT機器やサイバー攻撃の実態を可視化することを目的としたダークネット観測リポート(2021年1月~3月分)を発行した。

ダークネットとは、インターネットで到達可能なものの、実際にはどのネットワークやコンピューターにも割り当てられていない未使用IPアドレス群を指す(グローバルIPアドレス空間またはローカルIPアドレス空間における、未使用のIPアドレス群)。

クルウィットは、そのダークネットを活用しIoT機器やPCを監視する対サイバー攻撃アラートサービス「SiteVisor」を提供している。SiteVisorは、国立研究開発法人情報通信研究機構(NICT)が研究開発した「DAEDALUS」(ダイダロス)をクルウィットが商用化したものだ。

SiteVisorでは、未使用IPアドレス(ダークネット)に観測機器を配置し、そのIPアドレス宛てに「どのような攻撃を想定した通信があったか」を調査しており、観測データを基に攻撃傾向をダークネット観測リポートとしてまとめている。

未使用IPアドレス宛てパケット数の観測

2021年1月~3月におけるダークネット宛てパケット数の項目では、1月と2月はIoT関連のマルウエアが利用するポートへのスキャンが増加、3月は脆弱性がある製品・ソフトウェアの探索が目的とうかがえるスキャンの増加を観測した。探索活動はサイバー攻撃の第1歩となるため、引き続きソフトウェアのアップデートや定義ファイルの更新などを定期的に行うことが重要となる。

観測パケット数

ダークネット宛てに通信を行ったホスト数

当該期間におけるダークネット宛てに通信を行ったホスト数については、図の観測結果となった。2021年3月にホスト数の増加が見られるが、これは送信元IPアドレスを詐称したICMPパケットによるものという。通常ICMPパケットは、一般的に利用されている、IPアドレス通信の補助パケットにあたり、このような通信も利用してサイバー攻撃がしかけられる。

観測ホスト数。国内ホスト数はIPアドレスを逆引きして.jpドメインだったもの

観測ホスト数。国内ホスト数はIPアドレスを逆引きしてjpドメインだったもの

宛先ポート番号

ダークネット宛への宛先ポート番号の観測状況については、445/TCP(microsoft-ds)と1433/TCP(ms-sql-s)といった、Windows系ホストを狙った通信が従来から続いている。現在のIoTマルウエアは、23番ポート以外にも1024番ポート以上のポートと組み合わせて利用しており、1024番以上のポートへのスキャンも増加している。

宛先ポート番号

宛先ポート番号

攻撃者がIoT機器を攻撃するためにアクセスしてくる代表的なポート

攻撃者がIoT機器を攻撃するためにアクセスしてくる代表的なポート

送信元の国別観測状況

ダークネット宛に通信を行った国別状況については、次のような観測結果となった。

送信元の国別観測状況

送信元の国別観測状況

ダークネット観測リポートの考察によれば、2020年4月から2021年3月まで継続的に感染先・侵入先を探索する通信が行われており、予断を許さない状況が続いているという。これら探索パケットは、昨今の企業の情報漏えいのきっかけになっている可能性もあるそうだ。個人・法人含め、PCおよびソフトウェアの脆弱性や、見落とされがちなIoT機器のセキュリティ対策などの対策を確実に行い、感染・侵入されないよう対策を行う必要があるとしている。

また、2021年度も同様の傾向は続くことが予想され、特に世界的なイベントや国際情勢によりサイバー攻撃が増加する傾向があるという。すべてのインターネット利用者の端末がサイバー攻撃を行うための調査・危険にさらされているという意識を持ち、継続的なセキュリティ対策が重要とまとめている。

関連記事
バイデン大統領が「国家の情報セキュリティ改善の大統領令」に署名、サイバーセキュリティ対策の近代化を打ち出す
米国の中小起業や地方自治体にも中国ハッカーによるゼロデイ攻撃の被害
FBIとNSAが米連邦機関で進行中のハッキングは「ロシア起源の可能性が高い」と述べる
IoT検索エンジン「Karma」がセキュリティリスクを可視化する新機能を追加
匿名制「ヘンタイ」ポルノサイトのユーザー情報110万件が流出

カテゴリー:セキュリティ
タグ:IoT(用語)サイバー攻撃(用語)ダークネット(用語)日本(国・地域)

投稿者:

TechCrunch Japan

TechCrunchは2005年にシリコンバレーでスタートし、スタートアップ企業の紹介やインターネットの新しいプロダクトのレビュー、そして業界の重要なニュースを扱うテクノロジーメディアとして成長してきました。現在、米国を始め、欧州、アジア地域のテクノロジー業界の話題をカバーしています。そして、米国では2010年9月に世界的なオンラインメディア企業のAOLの傘下となりその運営が続けられています。 日本では2006年6月から翻訳版となるTechCrunch Japanが産声を上げてスタートしています。その後、日本でのオリジナル記事の投稿やイベントなどを開催しています。なお、TechCrunch Japanも2011年4月1日より米国と同様に米AOLの日本法人AOLオンライン・ジャパンにより運営されています。