JPCERT/CCは10月19日、2021年7~9月期の「TSUBAMEレポート Overflow」(以下、TSUBAMEレポート)を公開した。

「TSUBAME」はJPCERT/CCがインターネット上で通信されるパケットの動向を調査するために運営しているインターネット定点観測システムの名称。TSUBAMEレポートは、同団体が四半期ごとに公表している「インターネット定点観測レポート」の公開と併せて、レポートでは言及していない海外に設置しているセンサーの観測動向やその他の活動などをまとめたものである。なお、「インターネット定点観測レポート」は次のページで公開されている。

今四半期のTSUBAMEレポートでは、気になる動向として2つの点が指摘されている。1つは、ロシアから通常は使用されないポート番号を含むさまざまなポートへのアクセスが増加しているという点である。パケットの送信元IPアドレスが、過去にポートスキャンや脆弱性に関するスキャンが確認されているIPアドレス帯に含まれていることから、今回の動向にも注意しておく必要があるとのことだ。

もう1つは、「インターネット定点観測レポート」でも言及があった6379/TCPポート宛のパケットが増加しているという点である。6379/TCPポートは一般的にインメモリデータベースシステムの「Redis」によって使用されるが、Redisを悪用するサイバー攻撃の手法はよく知られているため、この6379/TCPポート宛のパケット増加もサイバー攻撃と関連している可能性があるという。JPCERT/CCでは、Redisの運用に際して、アクセス制限などの適切な設定とテストを行うことを推奨している。

国内外の観測パケット数の変化としては、センサー1台が1日あたりに受信したパケット数の平均は、7〜9月の各月ともに1年前の同月より増加しているという。

  • 国内外のセンサー1台が受信した平均パケット数の比較 ー 資料:JPCERT/CCより

    国内外のセンサー1台が受信した平均パケット数の比較   資料:JPCERT/CC

インターネット上で通信されるパケットの動向を知ることは、サイバー攻撃をはじめとする不穏な動きを事前に把握することにつながる。今四半期のレポートでは直接的な注意喚起などにつながる内容はなかったが、Redisの問題などは継続的に注意していく必要があるとのことだ。