NICTER四半期観測統計、ロシアからの調査スキャンが3割を占める

NICTは、2021年4月から6月（第2四半期）における「NICTER観測統計」を同機構のブログで公開した。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

2021.9.3 Fri 8:00

　国立研究開発法人情報通信研究機構（NICT）は9月1日、2021年4月から6月（第2四半期）における「NICTER観測統計」を同機構のブログで公開した。NICTERとは、NICTが研究開発している、コンピュータネットワーク上で発生するさまざまな情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステム。

　NICTERが同四半期に観測した総パケット数は約1,178億、1IPアドレス当たりでは約456,489であった（全四半期はそれぞれ約1,187億、約426,665）。

　日ごとの観測パケット数、ユニークホスト数の推移では、4月末から5月初旬に送信元IP アドレスを詐称して送信されたと思われるSYN パケットによるTCPホスト数のスパイクがあり、5月初旬にはロシアの複数のIPアドレスからの大量の調査スキャンによるTCPパケット数の増加があった。

　Miraiに関連する攻撃ホスト数は、全世界で約6万から8万弱程度で推移し、前四半期から引き続き大きな感染拡大はみられなかった。日本の状況では、前四半期から引き続きロジテックのブロードバンドルータへの感染活動がみられた。4月は主に23/TCPと2323/TCPの2つのポートにスキャンを行うMirai、5月末から6月は9530/TCPのみにスキャンを行うMirai（亜種）への感染が観測された。

　調査スキャナでは、ロシアのIPアドレスからの大規模な調査スキャンが観測され、そのパケット数は合計344億以上に及んだ。NICTERの総観測パケットの約30％を占めている。

　宛先ポート別のパケット数では、前四半期と同様に23/TCP（Telnet）が最も多かったが、その割合は減少傾向にある。一方で、Linuxなどのサーバで動作するサービスを狙ったと思われる6379/TCP（Redis）や2375/TCP（Docker REST API）へのパケット数の増加が見られた。5060/UDP（SIP）や123/UDP（NTP サービス）など、特定のUDPポートへのパケットの増加も引き続き目立った。

　同四半期に観測した事象については、Xiongmai製のビデオレコーダへの攻撃通信の観測を挙げている。これは、5月25日ころから日本をはじめとするいくつかの国からの9530/TCPをスキャンするホスト数およびパケット数の増加を観測したというもの。同製品にはバックドアがあり、既知のIDとパスワードによりログインが可能となる。

《吉澤亨史（ Kouji Yoshizawa ）》