2019年もサイバー攻撃関連の通信が活発化、ウェブカメラやルーターなどIoT機器を狙った攻撃が多数、NICTER観測レポート2019

NICTERダークネット観測統計（過去10年間）

　国立研究開発法人情報通信研究機構（NICT）サイバーセキュリティ研究所は、「NICTER観測レポート2019」を公開した。NICTERプロジェクトで2019年に観測されたサイバー攻撃関連の通信は2018年と比較して約1.5倍に増加した。

　NICTERプロジェクトは、NICTがサイバー攻撃観測・分析・対策システムを用いて、ダークネットや各種ハニーポットによるサイバー攻撃の大規模観測を実施するもの。

　NICTERのダークネット観測網（約30万IPアドレス）において、2019年に観測されたサイバー攻撃関連の通信は、合計3279億パケット。2018年の2121億パケットから約1.5倍に増加し、1IPアドレス当たりの年間総観測パケット数は約120万パケットに上った。海外組織からの調査目的とみられるスキャンが増加し、2019年は1750億パケットと、総パケットの53％にも及ぶことが判明した。

　調査目的のスキャンパケットを除いた上で、2019年にNICTERで観測した主な攻撃対象（宛先ポート番号）の上位11位をみたところ、主にウェブカメラやホームルーターなどのIoT機器に関連したサイバー攻撃関連の通信が観測された。

宛先ポート番号別パケット数分布（調査目的のスキャンパケットを除く）

　IoT機器を狙った通信の傾向は2018年とほぼ同じで、Telnet（23/TCP）を狙う攻撃が占める割合は2018年の46％から49％へと微増した。IoT機器で使用されるポート（機器のウェブ管理インターフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど）が多数含まれており、それらのポートを合わせると、全体の約半数がIoT機器で動作するサービスや脆弱性を狙った攻撃だった。

　Windows関連の観測傾向としては、リモートデスクトップの脆弱性公表の影響などもあり、多くのWindows関連ポートが上位を占める傾向がみられた。リモートデスクトップサービスに使われる「3389/TCP」が上位に入ったほか、ファイルやプリンターの共有で使われる「445/TCP」を狙った攻撃が目立った。

　そのほか、SSL-VPN製品の脆弱性公表後に、同脆弱性を悪用する攻撃が世界的に観測された。また、ボットに感染したホストが、これまでに観測されなかった新しいポートの組み合わせで攻撃する事象も観測されている。

　DRDoS（Distributed Reflection Denial-of-Service Attack）攻撃の観測では、複数のサービスを同時に悪用する攻撃が多く観測されたほか、単一のIPアドレスではなく、AS（Autonomous System）全体を狙う攻撃も観測されている。

　IoT機器の脆弱性が公開されると、その脆弱性を保有するホストに関する調査スキャンや悪用するマルウェアの攻撃通信が観測されるパターンが定式化しているとして、NICTでは注意を促している。