はじめに
NICTER プロジェクトのダークネット観測網における 2024 年第 2 四半期(4月~6月)の観測結果を公開します.
- 2024 年第 2 四半期の観測統計
2024年第2四半期の観測統計
総観測パケット数
表 1 に総観測パケット数の統計値を示します1.
2024 年第 2 四半期の 1 IP アドレス当たりの総観測パケット数(総観測パケット数を観測 IP アドレス数で正規化した値)は 2024 年第 1 四半期と比較すると減少しました.
日毎のパケット数とユニークホスト数の推移
図 1 に日毎の観測パケット数とユニークホスト数の推移を示します.
5 月 17 日頃の TCP パケット数のピークはアメリカの IP アドレスからの調査スキャンによるものでした(調査スキャナについて の unknown_scanner).SYN-ACK パケット数の大きなピークは見られませんでしたが,6 月末にやや増加が見られました.送信元はアメリカやドイツのホスティングサービスの IP アドレスでした.
今四半期も度々,日本国内の 53/UDP 宛てのパケットを送信するホスト数の急増が観測されました.IP アドレスの詐称による隠れオープンリゾルバの調査が行われていたと考えられます6.
IoT マルウェアの攻撃ホスト数の推移
IoT マルウェアに感染してスキャンを行うホストについて,Mirai(亜種によるものを含む)7に関連するホストと Telnet サービスを狙ったスキャンを行うホストのそれぞれについて,攻撃ホスト数の推移を世界と日本の傾向に分けて説明します.今四半期も Mirai の特徴を持たずに Telnet サービスを狙ったスキャンを行うホストが多く観測されました.
Mirai の攻撃ホスト数の推移(世界)
Mirai(亜種によるものを含む)に関連する観測パケット数が多かった上位 10 位とその他の国について,攻撃ホスト数と Mirai の観測パケット数の日ごとの推移を図 2 に示します.
Mirai に関連する攻撃ホスト数は 1 日あたり 3 万 2 千ホストから 6 万 6 千ホスト程度で推移しました.引き続き,others に含まれるエジプト(最大で 1 日に約 2 万 3 千ホスト観測,ホスト数に対して観測された Mirai パケット数は少数で,IP アドレス変動の影響によると思われるもの)のホストが多く観測されました.
Mirai に関連するパケット数は 1 日あたり 5,300 万から 1 億 5,000 万パケット程度で推移しました.4 月下旬頃からは中国のIP アドレスからのパケット数の増加が観測されました.
Telnet サービスを狙った攻撃ホスト数の推移(世界)
図 3 には telnet サービス(23/TCP,2323/TCP)を狙ったスキャンを行うホストについて,スキャンの宛て先ポート番号の組み合わせ(ポートセット)及びスキャンパケットに Mirai の特徴があるか否かによって分類し,日毎のホスト数の推移を示します.
no-mirai {23} は 2023 年以前にも 1 日あたり1 万ホスト程度観測されていましたが,InfectedSlurs(TBOT) 8 9 10 の感染活動が活発になった2023 年 10 月下旬以降は,多い日には 1 日に 10 万ホスト以上観測されるようになり,今四半期も 1 日あたり 3 万 6 千~ 9 万ホスト程度観測されました.送信元の国は,中国,メキシコ,インド,ブラジル,日本,アメリカ,ベネズエラ,韓国などが多く観測されています.
また,6 月には 特徴的なポートセット {23 26 4719 60023} (全て TCP )宛てのスキャンを行うホスト数の急増も観測されました.この事象の詳細は 2024年上半期のIoTボットの観測状況で紹介しています.
Mirai の攻撃ホスト数の推移(日本)
図 4 に,日本の Mirai に関連する送信元ホスト数と観測パケット数のグラフを示します.
国内のMirai に関連する攻撃ホスト数は 5 月のピーク(最大で約 3,000 ホスト,IP アドレスの付け変わりによるものと思われる)を除くと,概ね 1 日あたり 1,100 ホストから 1,600 ホスト程度で推移しました.5 月中旬頃からは TP-Link 社製のブロードバンドルータの感染が確認されています11.
Telnet サービスを狙った攻撃ホスト数の推移(日本)
図 5 には日本の telnet サービス(23/TCP,2323/TCP)を狙ったスキャンを行うホストについて,日毎のホスト数の推移を示します.
国内の no-mirai {23} 攻撃ホスト数は 1 日あたり 500 ホストから 1,800 ホスト程度で推移していましたが,5 月 20 日頃から大きく増加し,ピーク時には 1 日に 1 万ホスト以上観測されました.しかしながら,1 時間あたりの観測数は 300 ホストから 800 ホスト程度,ピーク時でも 3,200 ホスト程度に留まっており,IP アドレス変動による見かけ上の増加が相当数含まれていると考えられます.送信元のホストでは引き続き,HITRON 社製の DVR/NVR 12 が多く確認されていますが,5 月 21 日以降は Buffalo 社製ルータの感染も観測されました11 13.
調査スキャナについて
表 2 に調査スキャナ14についての統計値を示します.
今四半期,表 2 の a に示した 帰属が明らかなスキャン組織は 61 確認され,それらの組織に属する IP アドレスは 7,931 確認されました15.今四半期に新たに確認されたスキャン組織はありませんでした.
調査スキャナによる総スキャンパケット数は約 947 億で,総観測パケット数の約 61.1 % を占めました.前四半期の 72.7 % からは減少しましたが,組織が判明していない調査目的のスキャン(表の b)が引き続き多く観測されています.
図 6 に総観測パケットから調査目的のパケットを除いたパケット(wo_scanner),組織が判明した調査スキャナによる調査目的のスキャンパケット(known_scanner),組織が判明していない調査目的のスキャンパケット(unknown_scanner)について,日毎のパケット数の推移を示した積み上げグラフを示します.総観測パケットから調査目的のスキャンパケットを除いたパケット数(図 6 に青色で示した面,wo_scanner)がマルウェアや DDoS 攻撃の跳ね返り等によって送られたパケット数の実態値で,概ね 1 日 5.5 億から 7.1 億パケット程度で推移しました.
known_scanner で最も多くのパケットを送信していた組織は前四半期から変わらず,Censys16で,840 のIP アドレスから約 128 億パケット観測しました.続いて,Palo Alto Networks (Cortex-Xpanse)17(992 IP アドレス,約 94 億パケット),Shadowserver18 (753 IP アドレス,約 39 億パケット)の順に多く観測しました.known_scanner のリストは github19 で公開していますので,詳しくはそちらをご参照ください.
宛先ポート別パケット数
図 7 に 3 ヶ月間で観測されたすべてのパケット(TCP,および,UDP)を宛先ポート番号別に集計して,観測パケット数が多かった上位 19 位とその他の割合を示します.
以下,調査目的のスキャンパケットを除いたグラフ(2)について説明します.
調査目的のスキャンパケットを除くと,23/TCP(telnet)宛てのパケットが昨年から継続して最も多く観測され,今四半期は調査目的のスキャンパケットを除いた総観測パケット数の約 20.3% を占めました(2024 年第 1 四半期は 19.8%).IoT マルウェアの攻撃ホスト数の推移で報告した通り,23/TCP 宛てにスキャンをする IoT ボットの活動が活発でした.
8728/TCP(MikroTik RouterOS WinBox API)は,Skoali SAS (AS 216167),Soliaweb(AS 215987)などの IP アドレス群からの集中的なスキャンを観測し,2 番目に多く観測されました(2024 年第 1 四半期は 5 番目).
国別パケット数
図 8 に 3 ヶ月間で観測されたすべてのパケットを送信元の国別に集計して,観測パケット数が多かった上位 10 位とその割合を示します.全体的にアメリカからのパケット数が増加し,特にアメリカからの調査目的のスキャン(unknown_scanner)が多く観測されました.
おわりに
調査目的のスキャンパケットは前四半期よりは減少したものの,総観測パケットの 60 % を超える規模で観測されており,調査目的のスキャンが活発な状況が続いています. InfectedSlurs の感染活動が引き続き活発で,日本国内でも no-mirai {23} の攻撃ホスト数は最大で 1 日に 1 万ホストを超える規模で観測されました(IP アドレス変動を含む).
-
総観測パケット数は NICTER で観測しているダークネットの範囲に届いたパケットの個数を示すものであり,日本全体や政府機関に対する攻撃件数ではない.なお数値はブログ作成時点のデータベースの値に基づくが,集計後にデータベースの再構築等が行われ数値が増減することがある ↩︎
-
目的が明らかなスキャン組織の判定基準:ある調査機関・大学・組織で調査や研究を目的としたスキャンを行っていることが Web サイトなどから明らかで,スキャン元の IP アドレスが公開されているか,PTR レコードなどで帰属が確認できた場合に,この IP アドレスを調査スキャナと判定する ↩︎
-
NICTER の大規模スキャナの判定基準:ある1日における1つの IP アドレスからのパケット(TCP SYN と UDP のみ)について,宛先ポート番号のユニーク数が 30 以上,総パケット数が 30 万パケット以上の場合に,この IP アドレスを大規模スキャナと判定する ↩︎
-
SANS Internet Storm Center, DShield API:/api/threatcategory/research ↩︎
-
GreyNoise, 2022-05-10, A week in the life of a GreyNoise Sensor: The benign view ↩︎
-
NICTER解析チーム, 2024-02-15 , NICTER観測統計 - 2023年10月~12月 ↩︎
-
TCP ヘッダのシーケンス番号と宛先 IP アドレスが同じで,送信元ポート番号が 1024 よりも大きいという特徴を持った TCP SYN パケットを送信しているホストの数.ただし,この特徴を持たない TCP SYN パケットを送信する Mirai 亜種も観測されている ↩︎
-
Akamai SIRT, 2023-11-21, InfectedSlurs Botnet Spreads Mirai via Zero-Days ↩︎
-
IIJ-SECT, 2023-12-20, Mirai 亜種 InfectedSlurs の活動状況 ↩︎
-
XLab,2024-01-04, Mirai.TBOT Uncovered: Over 100 Groups and 30,000+ Infected Hosts in a big IoT Botnet ↩︎
-
NICTER解析チーム, 2024-08-15 , 2024年上半期のIoTボットの観測状況 ↩︎
-
JVN, 2024-01-31, JVNVU#93639653 複数のHitron Systems製デジタルビデオレコーダにおける不適切な入力確認の脆弱性 ↩︎
-
NICTER X, 2024-05-27, Buffalo社製ルータのIoTボットへの感染について ↩︎
-
帰属や目的が明らかなスキャン組織2の IP アドレス,および,NICTER の大規模スキャナの判定基準3を満たした IP アドレスを調査スキャナと判定する.帰属や目的が明らかなスキャン組織と,調査を行っていることは明らかである一方で帰属は分からないグレーな調査スキャン組織を分けて分析していくために,2023 年からは,帰属や目的が明らかなスキャン組織2を判定した後に,NICTER 大規模調査スキャナの判定3を行っている ↩︎
-
これらの IP アドレスは SANS Internet Storm Center4 や GreyNoise5 で調査スキャナと判定されている IP アドレスを参考に,我々の調査によって組織への帰属が確認できた IP アドレス, NICTER 観測データの調査・分析の過程で判明した調査組織の IP アドレスから構成されている.SANS Internet Storm Center や GreyNoise で調査スキャナと判定されている IP アドレスは必ずしも最新の情報とは限らず,既に IP アドレスが変わっているものや,判定の理由が明らかではないものが相当数含まれていることに注意が必要である ↩︎
-
Cybersecurity Laboratory of NICT, 2024-02-13, Survey Scanner List ↩︎