毎週ほぼ一定数の445/TCP宛、23/TCP宛パケット観測--定点観測レポート（JPCERT/CC）

JPCERT/CCは、2019年10月から12月における「インターネット定点観測レポート」を公開した。

脆弱性と脅威脅威動向

48 views

2020.1.30 Thu 8:05

2019年10～12月の宛先ポート番号別パケット観測数トップ5の推移全 3 枚拡大写真

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は1月29日、2019年10月から12月における「インターネット定点観測レポート」を公開した。本レポートは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集、宛先ポート番号や送信元地域ごとに分類したものを、脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析したもの。

同四半期における宛先ポート番号トップ5は、1位「23/TCP（telnet）」（前四半期1位）、2位「445/TCP（microsoft-ds）」（同2位）、3位「1433/TCP（ms-sql）」（同TOP10外）、4位「80/TCP（http）」（同5位）、5位「22/TCP（ssh）」（同3位）となった。送信元地域トップ5では、1位「オランダ」（同1位）、2位「ロシア」（同2位）、3位「米国」（同3位）、4位「中国」（同4位）、5位「ルーマニア」（同6位）となっている。

また、同四半期に注目された現象として、「1433/TCP宛のパケットの動向」および「イランで行われたインターネット遮断の影響について」を挙げている。1433/TCP宛のパケットは、2019年10月4日頃から多数観測しており、そのほとんどが中国からのものであった。それ以外は米国、インド、ベトナム、ロシアなどで、日本を送信元とするパケットも多数観測している（13位）。ハニーポットでの観測によると、SQL Serverを対象とした認証試行が行われているが、送信元の環境に共通した特徴は確認できなかったとしている。

《吉澤亨史（ Kouji Yoshizawa ）》