JPCERTコーディネーションセンター(JPCERT/CC)は2月4日、インターネット定点観測レポートの2015年10月~12月版を公開した。
同レポートは不特定多数に向けて発信されるパケットを収集して、宛先ポート番号や送信元地域ごとに分類。脆弱性情報やマルウェア、攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉を行っている。
今月の宛先ポート番号トップ5は以下の通り。「53413/UDP」が前四半期のトップ10圏外から3位まで順位を上げている。
順位 | 宛先ポート番号 | 前四半期順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 0/ICMP | 4 |
3 | 53413/UDP | トップ10圏外 |
4 | 445/TCP (microsoft-ds) | 3 |
5 | 1433/TCP (ms-sql-s) | 5 |
トップ5の宛先ポート番号ごとのパケット観測数の推移では、53413/UDPが乱高下を見せており、1位の23/TCP (telnet)は平均して観測されていることがわかる。送信元は中国と米国がワンツーで、前四半期と同じだ。
順位 | 宛先ポート番号 | 前四半期順位 |
---|---|---|
1 | 中国 | 1 |
2 | 米国 | 2 |
3 | 台湾 | 4 |
4 | ロシア | 7 |
5 | 韓国 | 8 |
JPCERT/CCの分析では、53413/UDPが探索されている理由は、同ポートを標準ポートとして使用するNetis/Netcore製のルータ製品を探索する目的の可能性が高いという。送信元は中国が多いものの、日本において同ポートを使用する製品はあまりない。Netis/Netcore製ルータには脆弱性が発見されており、この脆弱性を突くために探索している可能性があるようだ。探索パケットの中には、マルウェアに感染したWebカメラやセットトップボックス(STB)など、PCではない機器から送信された事例があり、一部は国内に存在するIoT端末のIPアドレスもあったという。PCではない組込み機器がマルウェアに感染してボット化している事例として、注意が必要と思われる。
また、11月中旬以降に、「9600/TCP」宛のパケット数の一時的な増加が数回発生している。
同ポート番号は、一般的に使用されるソフトウェアのサービスで使用されるポート番号ではないためJPCERT/CCが調査したところ、国内制御機器ベンダーのマニュアルに同ポートの記載があったことを確認した。
この例で問題となるのは、海外のセキュリティ研究団体が、制御システムのセキュリティ問題に関する記述と、実証目的のコンセプトコードをWebサイトに公開しており、その公開時期が"パケット数が増加した時期"と重なるというものだ。12月20日頃からは、パケット数だけでなく、送信元IPアドレス数も増加しており、公開されたWebサイトの閲覧者からの探索も含まれていると推察されるという。
研究目的でのセキュリティ情報の公開は、慎重さが求められる。トレンドマイクロが先日発表した「教育目的でランサムウェアのソースを一般公開も、攻撃者が即悪用する惨事に」では、Github上でランサムウェアのソースコードを公開したところ、見事に悪用されてしまった。同社は「サイバー犯罪者に利用される恐れのある情報を公開する際は十分に注意する必要がある」と結論付けており、セキュリティにかかわる事業者には慎重な対応を求めたいところだ。