NICTER観測レポート2019の公開
2020年2月10日
NICTER観測レポート2019の公開
【ポイント】
■ NICTERプロジェクトにおける2019年のサイバー攻撃関連通信の観測・分析結果を公開
■ サイバー攻撃関連通信は、調査目的のスキャン活動が2018年より活発化し、全体の過半数に
■ IoT機器を狙う攻撃の傾向は2018年とほぼ同じで、Telnet(23/TCP)宛が僅かに増加
国立研究開発法人情報通信研究機構(NICT、理事長: 徳田 英幸)サイバーセキュリティ研究所は、NICTER観測レポート2019を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2019年に観測されたサイバー攻撃関連通信は、2018年と比べて約1.5倍と昨年以上の増加傾向にあります。内訳としては、海外組織からの調査目的とみられるスキャンの増加が著しく、総観測パケットの53%を占めました。IoT 機器を狙った通信の傾向は2018年とほぼ同じで、最も多いTelnet(23/TCP)を狙う攻撃が占める割合は僅かに増加しました。その他、Windowsのリモートデスクトップの脆弱性公表の影響などもあり、昨年より多くのWindows関連ポートが上位を占める傾向がみられました。
NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
【背景】
NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網(ダークネット観測網)を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。
【今回の成果】
NICTは、NICTERプロジェクトの2019年の観測・分析結果を公開しました(詳細は、「NICTER観測レポート2019」 https://www.nict.go.jp/cyber/report/NICTER_report_2019.pdf参照)。
NICTERのダークネット観測網(約30万IPアドレス)において2019年に観測されたサイバー攻撃関連通信は、合計3,279億パケットに上り、1 IPアドレス当たり約120万パケットが1年間に届いた計算になります(図1参照)。
図1 NICTERダークネット観測統計(過去10年間)
注: 年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、これは日本全体や政府機関への攻撃件数ではありません。
図2は、1 IPアドレス当たりの年間総観測パケット数を2010年からグラフ化したものです。2019年の総観測パケット数は、2018年から約1,160億増加しましたが、この増分は、海外組織からの調査目的とみられるスキャンが昨年以上に増加したことに起因します。調査スキャンが総パケットに占める割合は、2017年の6.8%、2018年の35%から更に増加し、2019年は1,750億パケット(総パケットの53%)にも及ぶことが判明しました。
図2 1IPアドレス当たりの年間総観測パケット数(過去10年間)
このような調査目的のスキャンパケットを除いた上で、2019年にNICTERで観測した主な攻撃対象(宛先ポート番号)の上位11位までを表したものが図3です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。
図3 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)
注: 3位の22/TCPには、一般的な認証サーバ(SSH)へのスキャンパケットも含まれます。また、その他のポート番号(Other Ports)の中にはIoT機器を狙ったパケットも多数含まれます。
上位10位までのポートが全体に占める割合は、2018年の46%から49%へと僅かに増加しました。増加の理由としては、Telnet(23/TCP)を狙った攻撃パケット数が294億パケットから364億パケットへと僅かに増加したことが挙げられます。
その他のポート(Other Ports)の占める割合は全体の半数と目立ちますが、IoT機器で使用されるポート(機器のWeb管理インターフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)が多数含まれており、それらのポートを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃です。この傾向は、2018年とほぼ同じ傾向です。
また、Windows関連の観測傾向としては、ファイルやプリンタの共有で使われる445/TCPを狙った攻撃が昨年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが上位に入っています。
そのほか、2019年に特徴的な観測事象としては、SSL-VPN製品の脆弱性公表後に、これを悪用する攻撃が世界的に観測されました。また、ボットに感染したホストが、これまでに観測されなかった新しいポートの組合せで攻撃する事象も観測されています。DRDoS攻撃の観測では、複数のサービスを同時に悪用するマルチベクタ型の攻撃が多く観測されたほか、単一のIPアドレスではなく、AS全体を狙う攻撃も観測されています。
IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンやそれを悪用するマルウェアの攻撃通信が観測されるというパターンが定式化しており、感染の未然防止や被害の拡大防止に向け脆弱性対策を迅速に行うことが、ますます重要になっています。
【今後の展望】
NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。
【NICTER観測レポート2019(詳細版)】
・ NICTER観測レポート2019(Web版)
https://www.nict.go.jp/cyber/report.html
・ NICTER観測レポート2019(PDF版)
https://www.nict.go.jp/cyber/report/NICTER_report_2019.pdf
図4 NICTER Atlas によるダークネットで観測された通信の可視化
本プレスリリースは発表元が入力した原稿をそのまま掲載しております。また、プレスリリースへのお問い合わせは発表元に直接お願いいたします。
プレスリリース添付画像
図1. NICTERダークネット観測統計(過去10年間)
図2. 1 IPアドレス当たりの年間総観測パケット数(過去10年間)
図3. 宛先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)
図4. NICTER Atlas によるダークネットで観測された通信の可視化
このプレスリリースには、報道機関向けの情報があります。
プレス会員登録を行うと、広報担当者の連絡先や、イベント・記者会見の情報など、報道機関だけに公開する情報が閲覧できるようになります。
このプレスリリースを配信した企業・団体
- 名称 国立研究開発法人情報通信研究機構 広報部
- 所在地 東京都
- 業種 その他情報・通信業
- URL https://www.nict.go.jp/
過去に配信したプレスリリース
国際宇宙ステーションと地上間での秘密鍵共有と高秘匿通信に成功
4/18 14:00
既存の光ファイバ伝送で、伝送容量と周波数帯域の世界記録を達成
3/29 11:00
NICTER観測レポート2023の公開
2/13 14:00
見通し外を飛行するドローンを安全に制御する実証実験に成功
1/25 14:00
複数の企業間を結ぶ量子暗号ネットワークテストベッドの運用試験を開始
2023/12/18
既存の光ファイバにおける伝送容量の世界記録更新、毎秒301テラビット伝送を実証
2023/11/30
世界初、光の配光角を制御できる深紫外LEDの開発に成功
2023/11/1
世界初、“超伝導ワイドストリップ光子検出器”の開発に成功
2023/10/30
Web媒介型サイバー攻撃対策プロジェクト「WarpDrive」を大型アップデート!
2023/10/16
従来世界記録の2倍、伝送容量が毎秒22.9ペタビットの光ファイバ通信を可能に
2023/10/5
日本のサイバーセキュリティの結節点“CYNEXアライアンス”を発足
2023/10/2
日本語に特化した大規模言語モデル(生成AI)を試作
2023/7/4
