はじめに
サイバーセキュリティ研究室 解析チームでは NICTER のダークネット観測網に届くパケットの分析や送信元ホストに関する調査を日々行っています.
今回のブログでは,2020年8月下旬に IoT マルウェア Mirai の特徴を持つパケットの日本の送信元 IP アドレス数が1日で数十倍に増加した事象について紹介します.
IP アドレス数の急増とインターネットサービスプロバイダの偏り
2020年8月23日,Mirai の特徴を持つパケットの日本国内の送信元 IP アドレス数が数百から 5,365 個へと急増しました(図1).
日本国内の Mirai に関連する IP アドレス数の推移(図1)を見ると,2017年の11月に大規模な感染が観測され,2018年後半以降は多少の増減を見せながらも概ね 1,000 IP アドレス以下で推移していました.2020年に入っても増減の山は何度か見られますが,8月23日に観測された急増は 5,000 IP アドレス以上とここ数年の推移では突出しています.
この 5,365 の IP アドレスが属するインターネットサービスプロバイダ(ISP)を調べたところ,プロバイダA社のアドレスが 4,577 IP アドレス(約85%)を占めていることが分かりました.急増する前の2020年7月の ISP ごとの割合と比べてみると特異な割合になっていることが分かります(図2).
次に,プロバイダA社の 4,577 IP アドレスから送信された平均パケット数を確認したところ,約 9 パケットでした. 2020年の日本国内かつ Mirai の特徴を持つ送信元からのパケットは,1 IP アドレス当たり概ね 1,500 パケットで推移していたので,プロバイダA社からのパケット数は極端に少ないと言えます.
参考までに,2020年8月の Mirai の特徴を持つパケットの日本の送信元 IP アドレス数とそれらの送信元からの平均パケット数(全体)を並べたグラフ(図3)を見ても,8月23日からは,IP アドレス数の増加に反比例して平均パケット数が大幅に減少している様子がわかります.
このことから,プロバイダA社の IP アドレスが急増した理由として「1つの感染ホスト(機器)が何度も IP アドレスを変動させながらパケットを送信した」のではないかという仮説を立てました.
実際の感染ホスト数
仮説をもとに,8月23日にプロバイダA社 4,577 IP アドレスから届いたパケットを分析しました. IP アドレスの付け変わりを考慮して同じ時間幅にどれだけユニークな IP アドレスからダークネット観測網宛の通信があったかを集計したところ,最大で 10 ホストという値が出ました.
10 ホストという値は,同じ日に観測された送信元が日本の 5,365 IP アドレスと比べて極端に少ないため,算出方法の妥当性について我々自身も確証を持てずにいましたが,プロバイダA社からも 「1ホストが数百回にわたり IP アドレスを再取得していた.ユニークなホスト数はNICTの算出した最大値と変わらない値であった」 との回答が得られました.
原因は不明ですが,感染ホストによっては IP アドレスの変動が1日に数十~数百回発生していたことが事実であると分かりました.
終わりに
現時点では「なぜ IP アドレスが変動していたか」「どのようなマルウェアに感染していたか」といった原因については解明できていません. 過去にも同様の事例が発生していた可能性はありますが,送信元の IP アドレス数と実際に感染しているホスト数がここまで異なる事象は珍しく,プロバイダからの回答も得られたため,特異な事例の1つとして本ブログにて紹介しました.