NICTER Blog

はじめに

NICTERプロジェクトの大規模サイバー攻撃観測網（ダークネット観測網）における2020年4月1日から6月30日までの四半期の観測結果を公開します． なお，プロジェクトの公式サイトNICTER WEB でも，観測データの⼀部をリアルタイムで可視化したり，統計情報として公開していますので，そちらもご参照ください．

はじめに

NICTERプロジェクトの大規模サイバー攻撃観測網（ダークネット観測網）における2020年1月1日から3月31日までの四半期の観測結果を公開します． なお，プロジェクトの公式サイトNICTER WEB でも，観測データの⼀部をリアルタイムで可視化したり，統計情報として公開していますので，そちらもご参照ください．

概要

2020年2月以降，NICTER のダークネット観測網に届く9530/tcp 番ポート宛の通信が急増しています． 増加の背景には，このポートに特定のデータを送り込むことで，一部のメーカのビデオレコーダ機器において Telnet が有効になるというバックドアの脆弱性がインターネット上に公開されたことがあります．我々はこのバックドアの悪用を試みる攻撃をハニーポットで観測しています．

はじめに

2019年9月以降，日本国内において Emotet と呼ばれるマルウェアの感染報告が多数上がっており，独立行政法人情報処理推進機構（IPA）や一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）が Emotet に関する注意喚起^{1 2 3}を発信しています．

はじめに

NICTERプロジェクトの大規模サイバー攻撃観測網（ダークネット観測網）における2019年1月1日から6月30日までの半年間の観測結果を公開します． なお，プロジェクトの公式サイトNICTER WEB でも，観測データの⼀部をリアルタイムで可視化したり，統計情報として公開したりしていますので，そちらもご参照ください．

はじめに

世の中には，サイバーセキュリティアナリストのコミュニティやセキュリティベンダ等の組織によって提供されているサイバー脅威情報が数多く存在します． これらの情報は，例えばIDS等のセキュリティ機器で検知された通信を調査するような場面において，通信先が悪性であるかを判定するための材料として有用です． このため，セキュリティオペレーションの現場では，特定のインディケータ情報に関連する脅威を調査する作業が度々発生します．

はじめに

2018年2月以降，Android Debug Bridge（以降「ADB」）が使用する 5555/TCP ポートを狙った攻撃通信が観測されているという情報が，警察庁@policeによる注意喚起（2018年3月12日）をはじめ，セキュリティベンダのブログ等複数のメディアで報じられています．

NICTER のダークネットにおいても 2018年の2月以降，5555/TCPを宛先ポートとする同様の通信を観測しています．本ブログでは，5555/TCP ポート宛通信に関する NICTER の観測状況を紹介するとともに，5555/TCP で待ち受ける Android 機器に関して調査した結果の一部を紹介します．

80/TCP や 8000/TCP を狙った攻撃通信が 2018年6月10日以降増加していることが，@police の注意喚起や 360 NetLab Blog で報じられています．

• 宛先ポート 80/TCP に対する Mirai ボットの特徴を有するアクセスの増加について(警察庁)
  https://www.npa.go.jp/cyberpolice/detect/pdf/20180613.pdf

  [Read More]

Cisco Talos は Cisco 製 Switch で利用されている機器の遠隔管理用プロトコル “Cisco Smart Install” を悪用した攻撃の増加について注意を呼びかけ，対策方法を解説するドキュメントを公開しています．

3月15日ごろより，Twitter やブログ等で，自宅のWi-FiルータのDNS 情報が書き換えられ，インターネットに接続できなかったり，不審な Androd アプリケーションがダウンロードされるという情報が公開されています．