ポイント

■　NICTERプロジェクトにおける2020年のサイバー攻撃関連通信の観測・分析結果を公開

■　サイバー攻撃関連通信は、調査目的のスキャン活動が2019年に引き続き、全体の過半数に

■　IoT機器を狙う攻撃の傾向は2019年とほぼ同じで、Telnet（23/TCP）宛は減少

　国立研究開発法人情報通信研究機構（NICT、理事長: 徳田 英幸）サイバーセキュリティ研究所は、NICTER観測レポート2020を公開しました。NICTERプロジェクトの大規模サイバー攻撃観測網で2020年に観測されたサイバー攻撃関連通信は、2019年と比べて約1.5倍と、2019年から同様の増加傾向にあります。内訳としては、海外組織からの調査目的とみられるスキャンが総観測パケットの53.7%を占めました。IoT機器を狙った通信の傾向は2019年とほぼ同じで、最も多いTelnet（23/TCP）を狙う攻撃が占める割合は減少しました。その他、WindowsにおけるSMBに関する脆弱性公表の影響などもあり、2019年と同様にWindows関連ポートが上位を占める傾向がみられました。

　NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

背景

　NICTサイバーセキュリティ研究所では、NICTERプロジェクトにおいて大規模サイバー攻撃観測網（ダークネット観測網）を構築し、2005年からサイバー攻撃関連通信の観測を続けてきました。

今回の成果

　NICTは、NICTERプロジェクトの2020年の観測・分析結果を公開しました（詳細は、「NICTER観測レポート2020」 https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf参照）。

　NICTERのダークネット観測網（約30万IPアドレス）において2020年に観測されたサイバー攻撃関連通信は、合計5,001億パケットに上り、1 IPアドレス当たり約182万パケットが1年間に届いた計算になります（表1参照）。

表1. NICTERダークネット観測統計（過去10年間）

注: 年間総観測パケット数は、あくまでNICTERで観測しているダークネットの範囲に届いたパケットの個数であり、
これは日本全体や政府機関への攻撃件数ではありません。

　図1は、1 IPアドレス当たりの年間総観測パケット数を2011年からグラフ化したものです。2020年の1 IPアドレス当たりの年間総観測パケット数は、前年の2019年と比べて約1.5倍増加しており、これは、2019年の観測結果と同様の傾向です。

図1. 1 IPアドレス当たりの年間総観測パケット数（過去10年間）

　2020年の総観測パケット数は、2019年から約1,780億増加しました（表1参照）。この増分は、2020年3月頃から度々観測された大規模バックスキャッタの影響もありますが、2019年同様、海外組織からの調査目的とみられるスキャンの増加に起因します。調査スキャンが総パケットに占める割合は、2018年頃から大幅に増加し始め、2020年は2019年とほぼ同じ全体の50%を超える水準で推移しました。

　なお、2019年の観測パケットの重複カウントが判明したため、重複を排除し統計値を再集計したことに伴い、2019年の年間総観測パケット数と1 IPアドレス当たりの年間総観測パケット数を修正しています。

　このような調査目的のスキャンパケットを除いた上で、2020年にNICTERで観測した主な攻撃対象（宛先ポート番号）の上位10位までを表したものが図2です。円グラフの青色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。

図2. 宛先ポート番号別パケット数分布（調査目的のスキャンパケットを除く）

注: 4位の22/TCPには、一般的な認証サーバ（SSH）へのスキャンパケットも含まれます。また、その他のポート番号（Other Ports）の中にはIoT機器を狙ったパケットも多数含まれます。

　上位10位までのポートが全体に占める割合は、2019年の49.8％から37.1%へと減少しました。一方で、その他のポート（Other Ports）の占める割合は、2019年の49.6%から62.9%に増えています。これは、多くのポート番号から成るポートセットを攻撃対象とするボットネットの活動が継続的に観測されており、攻撃が多様化しているためだと考えられます。

　また、Windows関連の観測傾向としては、ファイルやプリンタの共有で使われる445/TCPを狙った攻撃が2019年に引き続き目立つほか、リモートデスクトップサービスに使われる3389/TCPが2019年と同様に上位に入っています。

　そのほか、2020年に特徴的な観測事象としては、3月から4月にかけて断続的に大規模なバックスキャッタが世界的に観測されました。一般的なDDoS攻撃の跳ね返りとは異なり、1日当たり7,000万以上のユニークIPアドレスからの跳ね返りパケットを観測するという特徴的な事象でした。DRDoS攻撃の観測では、複数のサービスを同時に悪用するマルチベクタ型の攻撃が多く観測されたほか、攻撃対象の分散化といった攻撃を複雑にする様子が確認されました。

　IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンやそれを悪用するマルウェアの攻撃通信が観測されるというパターンが定式化しており、感染の未然防止や被害の拡大防止に向け脆弱性対策を迅速に行うことが、ますます重要になっています。

今後の展望

　NICTでは、日本のセキュリティ向上に向けて、NICTERの観測・分析結果の更なる利活用を進めるとともに、IoT機器のセキュリティ対策の研究開発を進めていきます。

NICTER観測レポート2020（詳細版）

・ NICTER観測レポート2020（Web版）

   https://www.nict.go.jp/cyber/report.html

・ NICTER観測レポート2020（PDF版）

   https://www.nict.go.jp/cyber/report/NICTER_report_2020.pdf