NICTERプロジェクトの大規模サイバー攻撃観測網で2018年に観測されたサイバー攻撃関連通信は、2017年と比べて約1.4倍と昨年以上の増加傾向にある。内訳としては、海外組織からの調査目的と見られるスキャンの増加が著しく、総観測パケット数の35%を占めた。
IoT機器を狙った通信では、2017年に4割近くを占めていたTelnet(23/TCP)を狙う攻撃が減少する一方、IoT機器に固有の脆弱性を狙う攻撃が増加し、攻撃対象や攻撃手法が細分化している様子が観測されている。
サイバー攻撃関連通信は合計2,121億パケットに上った
NICTERのダークネット観測網(約30万IPアドレス)において2018年に観測されたサイバー攻撃関連通信は、合計2,121億パケットに上り、1IPアドレス当たり約79万パケットが1年間に届いた計算になる(図1)。
海外組織からの調査目的と見られるスキャンが大幅に増加
図2は、1IPアドレス当たりの年間総観測パケット数を2009年からグラフ化したもの。2018年の総観測パケット数は、2017年から約600億増加したが、この増分を分析した結果、海外組織からの調査目的と見られるスキャンが総パケットに占める割合が、2017年の6.8%から2018年は35%へと大幅に増加し、753億パケット(総パケットの35%)にも及ぶことが判明した。
主な攻撃対象(宛先ポート番号)のトップ10
このような調査目的のスキャンパケットを除いた上で、2018年にNICTERで観測した主な攻撃対象(宛先ポート番号)のトップ10を表したものが図3になる。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信になる。
2017年には、これらトップ10のポートが全体の半数以上を占めていたが、2018年は、46%とおよそ半数に減少している。減少の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が548億パケットから294億パケットへと大きく減少したことが挙げられる。
その他のポート(Other Ports)の占める割合は、全体の半数以上と目立つが、IoT機器で使用されるポート(機器のWeb管理インターフェイス用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃であった。
2018年に特徴的な観測事象としては、その他にも、IoT機器が仮想通貨採掘を強要する悪性プログラムに大規模感染する事象や、Android OSを搭載する様々なIoT機器を狙った感染活動も観測している。NICTERで新たに発見した脆弱性やインシデントについては、関連組織への報告や情報共有を行ったという。
IoT機器の脆弱性が公開されると、その脆弱性を悪用するマルウェアの攻撃通信が観測されるというパターンが一般化しており、IoT機器の脆弱性対策は、感染の未然防止や被害の拡大防止の観点で、ますます重要になってきているとしている。
