2019年のアクセス観測状況、探索対象の宛先ポートが広範囲に（警察庁）

警察庁は、令和元年（平成31年1月から4月を含む）における同庁のセンサーに対するアクセス観測状況をまとめた「平成29年観測資料」を「@police」において公開した。

脆弱性と脅威脅威動向

83 views

2020.3.10 Tue 8:05

警察庁は3月6日、令和元年（平成31年1月から4月を含む）における同庁のセンサーに対するアクセス観測状況をまとめた「平成29年観測資料」を「@police」において公開した。これによると、令和元年におけるセンサーに対するアクセス件数は、1日・1IPアドレスあたり4,192.0件で、平成30年（前期）から1,439.2件（52.3％）増加した。送信元IPアドレス数は、1日あたり48,119.0個で、前期から411.7個（0.8％）減少している。

主な増加要因として、広範囲（ウェルノウンポート以外）の宛先ポートに対する探索行為が増加したこと、Microsoft SQL Serverで使用される 1433/TCP に対するアクセスが増加したこと、NTPリフレクタースキャンとみられる 123/UDP に対するアクセスが増加したことを挙げている。また、IoT機器を標的としていると考えられるアクセスでは、脆弱性を有する機器の探索活動と考えられるMiraiボット（亜種を含む）の特徴を有する 37215/TCP に対するアクセス、および脆弱性を有するルータに対する感染拡大と考えられる 52869/TCP に対するアクセスが増加した。

シグネチャで検知した不正侵入等の行為などの件数は、1日・1IPアドレスあたり846.7件、送信元IPアドレス数は1日あたり7,628.9個であった。DoS攻撃被害観測状況は、1日あたり9,281.2件で、前期から9,866.0件（51.5％）減少した。一方、送信元IPアドレス数は1日あたり599.5個で、前期から251.4個（72.2％）増加している。

宛先ポート別の検知件数では、「23/TCP」「445/TCP」「1433/TCP」「22/TCP」
「52869/TCP」がトップ5となっており、送信元国・地域別検知件数では「ロシア」「オランダ」「米国」「中国」「ルーマニア」がトップ5であった。攻撃手法では「INDICATOR-SCAN」「Microsoft Windows Terminal server」「SMBv1」「Remote Desktop」「VOIP」の順で多かった。