1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し観測網に参加してもらう活動を行っています。各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRT等に情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、本四半期に国内に設置されたセンサーで観測されたパケットを中心に分析した結果について述べます。
| 順位 | 宛先ポート番号 | 前四半期の順位 |
|---|---|---|
| 1 | 23/TCP (telnet) | 1 |
| 2 | 22/TCP (ssh) | 3 |
| 3 | 445/TCP(microsoft-ds) | 4 |
| 4 | 1433/TCP(ms-sql-s) | 2 |
| 5 | 2323/TCP | 6 |
| ※ | ポート番号とサービスの対応の詳細は、IANAの文書 (*1) を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルに則ったパケットが受信されているとは限りません。 |
図1は、期間中のトップ5の宛先ポート番号ごとのパケット観測数の推移を示しています。
クリックすると拡大されます
送信元地域のトップ5を [表2]に示します。
| 順位 | 送信元地域 | 前四半期の順位 |
|---|---|---|
| 1 | 中国 | 1 |
| 2 | 米国 | 2 |
| 3 | ロシア | 3 |
| 4 | ブラジル | 7 |
| 5 | 日本 | TOP10外 |
図2に期間中のトップ5のパケット送信元地域からのパケット観測数の推移を示します。
クリックすると拡大されます
本四半期は、前四半期同様WindowsのSQLServerとSMBサービスのリクエスト受付用ポート向けのパケットが多数観測されました。また、前四半期もトップ5に入っていた、SSH(22/TCP)やTelnet(23/TCP)のリクエスト受付用ポート向けのパケットも継続して観測しており、脆弱なWebカメラ、ルータ、NAS等の機器の探索が継続して行われているものと推測されます。また、送信元地域別の5番目に日本が入り、その理由として、日本国内で多くの使用者がいると思われる無線LAN機器が脆弱性を悪用した攻撃を受け、Mirai亜種に感染したことが考えられます。その他に関しては、特筆すべき状況の変化は見られませんでした。
2. 注目された現象
2.1. 52869/TCP宛のパケットの観測状況について10月30日頃、及び11月15日頃から、52869/TCP宛のパケットを観測しています(図3)。
クリックすると拡大されます
TSUBAMEのセンサーは日本を含む21経済地域に設置していますが、この種のパケットを観測したセンサーのほぼすべてが日本国内に設置されたものでした。本傾向は11月までみられ、12月以降は海外のセンサーでも観測しています。このポートをスキャンするパケットの目的は2015年の4月に公開(*2)されたRealtek SDK Miniigd サービスの脆弱性をもつホストの探索だと推測されます。本脆弱性はすでに攻撃コードがインターネット上に公開されているため、容易に攻撃を行うことが可能です。また、JPCERT/CCでは、日本国内で普及しているルータの一部で古いファームウエアを使用している場合に本脆弱性の影響を受けることを確認(*3)したことから、早期の対策を呼びかけるために、2017年12月19日に注意喚起を発行(*4)しました。また、他の組織からも本件に関する注意(*5)が呼びかけられています。。
2.2. 23/TCP,2323/TCP宛のパケット数の観測状況について
図4は23/TCPまたは2323/TCP宛の観測パケット数の推移を、主な送信元地域ごとに示したものです。10月末頃から、それ以前にはなかった数のパケットが観測されるようになりました
クリックすると拡大されます
これらのパケットは、Miraiに感染した端末からのパケットと共通した特徴を有しており、Miraiの亜種に感染した端末によるものと推測されます。また、日本国内から送信された23/TCP宛のパケットの送信元となっている感染した端末の機種を特定するため、一部の送信元にアクセスして確認してみましたが、52869/TCPポートが開いていること以外には機種を特定できる情報は得られませんでした。
23/TCPのパケットは図4に示したように10月30日頃から観測され始めましたが、これは2.1 で述べた52869/TCP のパケットを一時的に観測した時期とほぼ一致しています。23/TCPのパケットはその後11月14日にかけて減少しましたが、これも2.1で述べた52869/TCPのパケットを観測しなかった時期と一致しています。また11月15日以降は、52869/TCPのパケットが再び観測されるとともに、日本国内からの23/TCPのパケットも増加に転じ、その後はほぼ一定のパケット数が続いています。こうした観測パケット数の推移から、52869/TCPのパケットによって脆弱な端末が探索されて、Miraiの亜種に感染し、23/TCP宛のパケットを送信するようになったシナリオを一つの可能性として描くことができます。
なお、11月15日からは、23/TCP宛ばかりでなく2323/TCP宛のパケットも観測されるようになりました。
送信元の地域も、日本ばかりでなく、11月23日頃にはアルゼンチン、11月29日頃にはコロンビア、パナマ、エジプト、チュニジアなどに拡大(*6)しています。いずれの地域のケースも脆弱性をもつインターネット接続機器(*7)が攻撃を受けMiraiの亜種に感染したと推測されます。
3. 参考文献
| (1) | Service Name and Transport Protocol Port Number Registry |
|
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
| (2) | (0Day) Realtek SDK miniigd AddPortMapping SOAP Action Command Injection Remote Code Execution |
|
http://www.zerodayinitiative.com/advisories/ZDI-15-155/ |
|
| (3) | ロジテック製 300Mbps 無線LAN ブロードバンドルータおよびセットモデル (全11モデル)に関する重要なお知らせとお願い |
|
http://www.logitec.co.jp/info/2017/1219.html |
|
| (4) | Mirai 亜種の感染活動に関する注意喚起 |
|
https://www.jpcert.or.jp/at/2017/at170049.html |
|
| (5) | ルータ製品の脆弱性を悪用して感染を広げる Mirai の亜種に関する活動(2017-12-19) |
|
http://www.nicter.jp/report/2017-01_mirai_52869_37215.pdf 脆弱性が存在するルータを標的とした宛先ポート52869/TCPに対するアクセス及び日本国内からのTelnetによる探索を実施するアクセスの観測等について https://www.npa.go.jp/cyberpolice/important/2017/201712191.html Mirai亜種の感染拡大に伴う注意喚起 https://wizsafe.iij.ad.jp/2017/12/175/ |
|
| (6) | 国内における Mirai 亜種の感染急増 (2017年11月の観測状況) |
|
https://sect.iij.ad.jp/d/2017/12/074702.html |
|
| (7) | Security Notice - Statement on Remote Code Execution Vulnerability in Huawei HG532 Product |
|
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20171130-01-hg532-en |
最新情報についてはJPCERT/CCのWebサイトをご参照ください。
JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/tsubame/report/index.html
