NICTER観測統計 - 2021年10月～12月

はじめに

NICTER プロジェクトのダークネット観測網における2021年第4四半期（10～12月）の観測結果を公開します．2021年1年間の観測・分析結果をまとめたNICTER 観測レポート2021も公開していますので，年間統計についてはそちらをご参照ください．

• 2021年第4四半期の観測統計

  • 総観測パケット数
  • 日毎のパケット数とユニークホスト数の推移
  • Mirai の攻撃ホスト数の推移
  • 調査スキャナについて
  • 宛先ポート別パケット数
  • 国別パケット数

• 2021年第4四半期に観測した事象について

  • Hikvision の脆弱性を狙った攻撃の観測
  • Apache Log4j v2 の脆弱性を狙った攻撃の観測

2021年第4四半期の観測統計

総観測パケット数

表1に総観測パケット数の統計値を示します¹．2021年第4四半期の1IP アドレス当たりの総観測パケット数（総観測パケット数を観測IP アドレス数で正規化した値）は第3四半期と同程度でした．

日毎のパケット数とユニークホスト数の推移

図1に日毎の観測パケット数，ユニークホスト数の推移を示します．今期は目立ったSYN-ACK パケット数のピークは見られませんでした．10月はTCP パケット数が11月以降よりも多く観測されましたが，これは主にロシアからの調査目的と思われるスキャンによるものでした．調査目的のスキャンについては調査スキャナについて をご参照ください．

12月3日及び8日頃のUDP パケット数のピークはインドのIPアドレスによるほぼ全ポート宛ての集中的なスキャン，12月6日頃のUDP パケット数のピークはベトナムの複数のIP アドレスによる20000番以降のハイポート宛ての集中的なスキャンによるものでした．また，10月8日頃及び11月9日から25日頃に見られるUDP ホスト数の増加は中国のホスト数の増加によるものでした．それぞれのスキャンの目的やホスト数増加の原因は分かっていません．

Mirai の攻撃ホスト数の推移

Mirai（亜種によるものを含む）に関連する攻撃ホスト数²の日ごとの推移を，全ての送信元ホストについては図2に，日本の送信元ホストについては図3に示します． Mirai に関連する攻撃ホスト数は全世界で概ね5万から6万強程度で推移し，大きな感染拡大はみられませんでした．

図3には，積み上げグラフと合わせて，日本のMirai に関連する送信元ホストのUPnP Description ファイルを収集して得られたロジテックルータのユニークUUID 数も折れ線グラフで示しています³．今期もロジテックのブロードバンドルータのマルウェア等への感染が1日に約100台～400台観測されました．

調査スキャナについて

表2に調査スキャナについての統計値を示します⁴．また，図4に総観測パケットから調査目的のパケットを除いたパケット，調査スキャナによる調査目的のスキャンパケット（上位5か国とそれ以外）について，パケット数の推移を示した積み上げグラフを示します．総観測パケットから調査目的のスキャンパケットを除いたパケット数（図に茶色で示した面）がマルウェアやDDoS 攻撃の跳ね返り等によって送られたパケット数の実態値で，顕著な増減は見られませんでした．今四半期もロシアのIP アドレスからの調査スキャンが期間中最も多く観測されました．

宛先ポート別パケット数

図5に3ヶ月間で観測されたすべてのパケット（TCP および UDP）を宛先ポート番号別に集計して，観測パケット数が多かった上位10位とその他の割合を示します．これらのポート番号・プロトコルに対応したサービスが我々の観測で⾒えた 2021 年第4四半期で多く攻撃対象となったサービスと⾔えます．主にIoT 機器を狙ったスキャンと思われるポートを青，Windows 機器を狙ったスキャンと思われるポートをオレンジ，それ以外のポートを紺色で示しています．

観測パケット数が最も多かったのは前四半期と同様に23/TCP（Telnet）でしたが，割合は引き続き減少傾向にあります．今四半期も，Linux などのサーバで動作するサービスを狙ったと思われる，6379/TCP（Redis）や2375/TCP 及び2376/TCP（Docker REST API）宛てのパケット数の増加が見られました．

国別パケット数

図6に3ヶ月間で観測されたすべてのパケットを送信元の国別に集計して，観測パケット数が多かった上位10位とその割合を示します．

調査目的のスキャンパケットの統計では，引き続きロシアからのパケット数が全体の約4割を占めています．調査目的のスキャンパケットを除く統計では，シンガポール・香港・韓国といったアジア圏の国からのパケット数の増加が見られました．

2021年第4四半期に観測した事象について

Hikvision の脆弱性を狙った攻撃の観測

10月21日頃から100/TCP，102/TCP，180/TCP を含んだ特徴的なポートセット⁵でスキャン活動を行うホストの増加を観測しました⁶．これら3つのポートのいずれかにパケットを送信していたホスト数の推移を図7に示します．ホスト数が多かった10月24日について，この日に100/TCP を含むスキャンを行っていた22,301ホストを調査したところ，10,121ホストで80/TCP がOpen になっており，少なくとも6,831ホストがHikvision 製のIP カメラでした．送信元国別のホスト数の内訳は多い順にウクライナ：1059，ロシア：816，トルコ：439，インド：382，アメリカ：358で，日本も5ホスト観測されました．

Hikvision のIP カメラについては9月19日にリモートでコマンド実行が可能な脆弱性（CVE-2021-36260）が公開されており^{7 8}，応答型のハニーポットでは，11月6日頃からこの脆弱性を悪用した攻撃通信も観測しています（図8）．セキュリティベンダの研究グループのBlog によると，この脆弱性がMirai の亜種Moobotの感染に利用されているとのことです⁹．

NICTER で観測した特徴的なポートセットでスキャンを行っていたホストがこの脆弱性を悪用されてBot 化したかどうかは確認できていませんが，この事象は，2022年1月にも再度観測されており¹⁰，NICTER ではこれらの事象に関連性がないか調査を行っています．

Apache Log4j v2 の脆弱性を狙った攻撃の観測

12月9日にTwitterにて，Java のOSS ロギングライブラリであるApache Log4j v2（version2）のリモートでコマンド実行が可能なゼロデイ脆弱性についてのPOCが投稿され¹¹，12月10日にCVE-2021-44228が公開されました¹²．同日，Apache から修正版も提供されています¹³．この脆弱性はApache Log4j v2 を使用している多くのアプリケーションやソフトウェアに影響を与えるもので，12月11日にJPCERT/CC から注意喚起も出されました¹⁴．

応答型のハニーポットでは，12月10日頃からこの脆弱性を狙った攻撃通信を観測しました（図9）．12月13日頃にホスト数のピークがありますが，これはドイツのセキュリティ調査会社からの脆弱性調査を目的としたスキャンによるものでした¹⁵．また，宛先ポート番号はweb 系の複数のTCP ポートに分散していました．中国セキュリティベンダの研究グループ，@Police，JPCERT/CC 等からも攻撃通信の観測状況が報告されています^{16 17 18}．

おわりに

本ブログでは，2021年第4四半期のダークネット観測網で観測したパケットの観測統計を紹介しました．今四半期には6379/TCP（Redis），2375/TCP 及び2376/TCP（Docker REST API）宛てのパケット数の増加が観測されました．調査スキャンを除いたパケット数及びホスト数は大きな増減なく推移しました．

また，12月にゼロデイ脆弱性が明らかになったApache Log4j v2 を狙った攻撃通信の観測状況を紹介しました．NICTER プロジェクトでは引き続き動向を注視して分析を継続していきます．