この調査レポートは、IoTデバイスがオンラインで適切に保護されていない場合に直面する脅威、そして依然衰えぬEternal Blueや発生から2年が経過したWannaCryに関連するエクスプロイトの継続的な活動が目立っていると説明している。
F-Secureが情報収集のために設置したグローバルハニーポット(攻撃者を誘惑するためのおとりサーバ)への攻撃は期間中29億回にのぼり、昨年同時期(2億3,100万回)と比較して12倍に達している。
この結果は、IoTデバイスで使用されるTelnetおよびUPnPプロトコルを標的とするトラフィックと、ランサムウェアおよびバンキング型のトロイの木馬を拡散させるためにEternalのエクスプロイトファミリで使用されるSMBプロトコルにおける増加に起因している。
■ポートとプロトコル
調査期間中、Telnetトラフィックが全トラフィック中26%と最大のシェアを占め、ログに記録された攻撃イベントは7億6,000万にのぼった。次点はUpnPで6億1,100万件(21%)の攻撃が発生していた。
IoTデバイスを標的にするためにも使用されるSSHは4億6500万件(16%)の攻撃を受けたが、これはMiraiなどのマルウェアに感染したIoTデバイスがソースとして考えられる。Miraiは、ルータ、監視カメラ、および工場出荷時のデフォルト認証情報を使用するIoTデバイスなどに感染する。
SMBポート445への攻撃トラフィックは5億5,600万件となっている。これは、2017年に壊滅的被害をもたらしたWannaCryの発生で最初に使用されたEternalのエクスプロイトファミリーがまだ健在であり、未だにパッチが適用されていない数百万台のマシンを破壊しようとしていることを示している。
エフセキュアのプリンシパル・リサーチャーであるJarno Niemela(ヤルノ・ニエメラ)はこれについて以下のように語っている。
「Miraiの登場から3年、WannaCryから2年が経過していますが、これらのアウトブレイクで引き起こされた問題がまだ解決されていないことが当社の調査でわかりました。IoTの不安定さがますます深刻になりつつある一方、次々に登場する多くのデバイスがボットネットによる攻撃を受けています。また、SMBに対する攻撃は、未だに多くのマシンにパッチが適用されていないことを示しています」。
■今回の調査におけるその他ファクト
- 攻撃トラフィックの発信源は中国、米国、ロシア、ドイツの順に多かった。
- 標的となった国は米国、オーストリア、ウクライナ、英国、オランダ、イタリアの順。
- 調査期間中のランサムウェア配信方法で最大のシェアを占めたのは、リモートデスクトッププロトコル(RDP)経由で31%だった。
- Telnetトラフィック発信源のシェアは米国、ドイツ、英国、オランダの順に大きかった。
- SMBトラフィックの最大の発信源は中国だった。
