2017年のアクセス観測状況、増加の背景にIoTボットやランサムウェア（警察庁）

警察庁は、平成29年における同庁のセンサーに対するアクセス観測状況をまとめた「平成29年観測資料」を「@police」において公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2018.3.23 Fri 8:01

警察庁は3月22日、平成29年における同庁のセンサーに対するアクセス観測状況をまとめた「平成29年観測資料」を「@police」において公開した。これによると、平成29年におけるセンサーに対するアクセス件数は、1日・1IPアドレスあたり1,893.0件で、平成28年（前期）から201.1件（11.9％）増加した。発信元IPアドレス数は、1日あたり69,266.9個で、前期から13,466.7個（24.1％）増加している。

主な増加要因として、IoT機器を標的としていると考えられるアクセスが高水準で推移していることを挙げている。具体的には、Telnetで使用される23/TCPおよび一部の機器において同様の目的で使用されている2323/TCPに対するアクセスが、今期のアクセス件数全体の37.8％を占めた。またSSHで使用される22/TCP、脆弱性が存在する特定のIoT機器を標的としていると考えられる5358/TCP、7547/TCP等に対するアクセスが増加し、MiraiボットやHajimeボットの特徴を有するアクセスは42.6％を占めた。WannaCryの感染活動も要因に挙げている。

シグネチャで検知した不正侵入等の行為の件数は、1日・1IPアドレスあたり1,215.0件で、前期から712.3件（141.7％）の増加。発信元IPアドレス数は1日あたり1,632.8個で、前期から329.5個（16.8％）減少している。DoS攻撃被害観測状況は、1日あたり19,391.9件で、前期から8,833.1件（83.7％）増加した。発信元IPアドレス数は1日あたり1,485.4個で、前期から276.8個（15.7％）減少している。

宛先ポート別の検知件数では、「23/TCP」「22/TCP」「1433/TCP」「445/TCP」「2323/TCP」がトップ5となっており、発信元国・地域別検知件数では「中国」「米国」「ロシア」「ブラジル」「韓国」がトップ5であった。攻撃手法では「Scan」「VoIP」「DNS」「Scan（Password）」「ICMP」の順で多かった。

《吉澤亨史（ Kouji Yoshizawa ）》