情報通信研究機構(NICT)は3月11日、NICTER プロジェクトのダークネット観測網における2021年第4四半期(10~12月)の観測結果を公開した。NICTERは、NICTが研究開発している、コンピュータネットワーク上で発生するさまざまな情報セキュリティ上の脅威を広域で迅速に把握し、有効な対策を導出するための複合的なシステム。
NICTERが2021年第4四半期に観測した総パケット数は約1,268億、1IPアドレス当たりでは約429,511で、第3半期と同程度であった。
日ごとの観測パケット数、ユニークホスト数の推移を見てみると、10月にロシアからの調査目的と思われるスキャンによるTCP パケット数が11月以降よりも多く観測されている。
Miraiに関連する攻撃ホスト数は、全世界で約5万から6万強程度で推移し大きな感染拡大はみられなかった。日本の状況としては、ロジテックのブロードバンドルータのマルウェア等への感染が1日に約100台~400台観測されている。
宛先ポート別のパケット数では、前四半期と同様に23/TCP(Telnet)が最も多かったが、引き続き減少傾向にある。Linuxなどのサーバで動作するサービスを狙ったと思われる6379/TCP(Redis)や2375/TCP及び2376/TCP(Docker REST API)へのパケット数の増加が見られた。
2021年第4四半期に観測した事象として、10月21日頃から100/TCP、102/TCP、180/TCP を含んだ特徴的なポートセットでスキャン活動を行うホストの増加を観測しており、ホスト数が多かった10月24日に100/TCP を含むスキャンを行っていた22,301ホストを調査したところ、10,121ホストで80/TCP がOpen になっており、少なくとも6,831ホストがHikvision 製のIP カメラであった。Hikvision のIP カメラは9月19日に、リモートでコマンド実行が可能な脆弱性(CVE-2021-36260)が公開されており、応答型のハニーポットでは,11月6日頃から同脆弱性を悪用した攻撃通信を観測している。
