WannaCryなどで使用されたポート445へのパケットが増加--定点観測レポート（JPCERT/CC）

JPCERT/CCは、2018年7月から9月における「インターネット定点観測レポート」を公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

115 views

2018.10.19 Fri 8:00

2018年7～9月の宛先ポート番号別パケット観測数トップ5の推移全 3 枚拡大写真

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は10月18日、2018年7月から9月における「インターネット定点観測レポート」を公開した。本レポートは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集、宛先ポート番号や送信元地域ごとに分類したものを、脆弱性情報、マルウェアや攻撃ツールの情報などの情報を参考に分析したもの。

同四半期における宛先ポート番号トップ5は、1位「23/TCP（telnet）」（前四半期1位）、2位「445/TCP（microsoft-ds）」（同2位）、3位「80/TCP（http）」（同3位）、4位「8080/TCP」（同6位）、5位「22/TCP（ssh）」（同4位）となり、前四半期から大きな変化はなかった。送信元地域トップ5では、1位「中国」（同2位）、2位「ロシア」（同3位）、3位「米国」（同1位）、4位「オランダ」（同5位）、5位「ウクライナ」（同TOP10外）となっている。

また、同四半期に注目された現象として、「Port445/TCP宛のパケット数の増加」を挙げている。Port445/TCP宛のパケットが8月12日頃より増加しており、送信元IPアドレスには国内のものも国外のものもある。このポートは2017年5月以降、WannaCry等の探索活動に伴うものが観測されているが、8月12日以降のものは従来と異なる送信元も確認された。

《吉澤亨史（ Kouji Yoshizawa ）》