NICTER観測レポート2018の公開

2019年2月6日

NICTER観測レポート2018の公開

【ポイント】

■ NICTERプロジェクトにおける2018年のサイバー攻撃関連通信の観測・分析結果を公開

■ サイバー攻撃関連通信は、調査目的のスキャン活動が2017年よりも活発化、依然増加傾向に

■ IoT機器を狙う攻撃の傾向が変化し、仮想通貨の採掘や、Android 機器への攻撃拡大も

 国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸) サイバーセキュリティ研究所は、NICTER観測レポート2018を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2018年に観測されたサイバー攻撃関連通信は、2017年と比べて約1.4倍と昨年以上の増加傾向にあります。内訳としては、海外組織からの調査目的と見られるスキャンの増加が著しく、総観測パケット数の35%を占めました。IoT機器を狙った通信では、2017年に4割近くを占めていたTelnet(23/TCP)を狙う攻撃が減少する一方、IoT機器に固有の脆弱性を狙う攻撃が増加し、攻撃対象や攻撃手法が細分化している様子が観測されています。

 NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

【背景】

 NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。

【今回の成果】

 NICTは、NICTERプロジェクトの2018年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2018」参照)。

 NICTERのダークネット観測網(約30万IPアドレス)において2018年に観測されたサイバー攻撃関連通信は、合計2,121億パケットに上り、1 IPアドレス当たり約79万パケットが1年間に届いた計算になります(図1参照)。

図1. NICTERダークネット観測統計(過去10年間)

図1. NICTERダークネット観測統計(過去10年間)

注: 年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、これを日本全体や政府機関への攻撃件数と考えるのは適切ではありません。

 図2は、1 IPアドレス当たりの年間総観測パケット数を2009年からグラフ化したものです。2018年の総観測パケット数は、2017年から約600億増加しましたが、この増分を分析した結果、海外組織からの調査目的と見られるスキャンが総パケットに占める割合が、2017年の6.8%から2018年は35%へと大幅に増加し、753億パケット(総パケットの35%)にも及ぶことが判明しました。

図2. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)

図2. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)

 このような調査目的のスキャンパケットを除いた上で、2018年にNICTERで観測した主な攻撃対象(宛先ポート番号)のトップ10を表したものが図3です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。

図3. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)

図3. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)

注: 4位の22/TCPには、一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。

また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。Other Portsの占める割合は、全体の半数以上と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェイス用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数が IoT 機器で動作するサービスや脆弱性を狙った攻撃です。

 2017年には、これらトップ10のポートが全体の半数以上を占めていましたが、2018年は、46%とおよそ半数に減少しています。減少の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が548億パケットから294億パケットへと大きく減少したことが挙げられます。その他のポート(Other Ports)の占める割合は、全体の半数以上と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェイス用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数が IoT 機器で動作するサービスや脆弱性を狙った攻撃です。

 2018年に特徴的な観測事象としては、その他にも、IoT機器が仮想通貨採掘を強要する悪性プログラムに大規模感染する事象や、Android OSを搭載する様々な IoT 機器を狙った感染活動も観測しています。NICTERで新たに発見した脆弱性やインシデントについては、関連組織への報告や情報共有を行いました。

 IoT機器の脆弱性が公開されると、その脆弱性を悪用するマルウェアの攻撃通信が観測されるというパターンが一般化しており、IoT機器の脆弱性対策は、感染の未然防止や被害の拡大防止の観点で、ますます重要になってきていると考えられます。

【今後の展望】

 NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

<NICTER観測レポート2018(詳細版)>

・ NICTER観測レポート2018(Web版)

    http://www.nict.go.jp/cyber/report.html

・ NICTER観測レポート2018(PDF版)

    http://www.nict.go.jp/cyber/report/NICTER_report_2018.pdf

本プレスリリースは発表元が入力した原稿をそのまま掲載しております。また、プレスリリースへのお問い合わせは発表元に直接お願いいたします。

プレスリリース添付画像

図1. NICTERダークネット観測統計(過去10年間)

図2. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)

図3. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)

このプレスリリースには、報道機関向けの情報があります。

プレス会員登録を行うと、広報担当者の連絡先や、イベント・記者会見の情報など、報道機関だけに公開する情報が閲覧できるようになります。

プレスリリース受信に関するご案内

このプレスリリースを配信した企業・団体

  • 名称 国立研究開発法人情報通信研究機構 広報部
  • 所在地 東京都
  • 業種 その他情報・通信業
  • URL http://www.nict.go.jp/

SNSでも最新のプレスリリース情報をいち早く配信中

過去に配信したプレスリリース