見えない攻撃を可視化 ダークネット観測リポートについて
BBソフトサービス株式会社
株式会社クルウィット
BBソフトサービス株式会社(以下、「BBSS」)と株式会社クルウィット(以下、「クルウィット」)は、IoT機器やサイバー攻撃の実態を可視化するため、ダークネット観測リポート(2020年4月~6月分)を発行します。近年、テレビやウェブカメラ、スマートスピーカーなど、多くの家庭内の機器がインターネットにつながるようになり、IoT機器はより身近なものとなってきました。しかし、セキュリティソフトを入れることができないIoT機器は攻撃の検知が難しいため、セキュリティ対策は万全とは言えません。BBSSとクルウィットは、このような状況下において、多くの人にIoT機器を安全・安心に使っていただくためにダークネット観測リポートを発行します。
ダークネット観測リポートとは
クルウィットは、組織内外のダークネットを活用してIoT 機器や PC を監視する「SiteVisor」を提供しています。「SiteVisor」では、誰も利用していないIPアドレス(ダークネット)に観測機器を配置し、そのIPアドレス宛に「どのような攻撃を想定した通信があったか」を調査しています。ダークネット観測リポートは、「SiteVisor」で観測したデータを基に、IoT機器などへのサイバー攻撃の傾向をまとめたものです。
IoT機器への攻撃
IoT機器を攻撃する専用のウイルスがあり、代表的なマルウエア「Mirai」といわれるものがあります。スマートスピーカーなどのIoT機器を踏み台にして、企業のサーバーなどを攻撃します。たとえIoT機器がマルウエアに感染したとしても、利用者に実被害がでる可能性は低いこともありますが、犯罪者に利用され犯罪の片棒を担ぐこととなります。
今後はIoT機器の誤作動を行うようなマルウエアが出てくる可能性も高く、セキュリティ対策を施す必要性があります。
IoT機器への攻撃の種類
犯罪者はポートを利用して攻撃を仕掛けてきます。ポートとは機器同士が通信を行うときのドア(出入口)のようなもので番号がつけられています。犯罪者がよく使うのは「遠隔操作ができる」ポートです。これを悪用すれば、IoT機器を含めたパソコンやIoT機器を操作することができます。
| ポート番号 | 役割 |
|---|---|
| ポート22 | 管理用コマンドを使った遠隔操作をする (ssh) |
| ポート23 | 管理用コマンドを使った遠隔操作をする(telnet) |
| ポート80 | ルーターなどの管理画面へアクセスする (http) |
| ポート81 | ルーターなどの管理画面へアクセスする(http) |
| ポート8080 | Webカメラやルーターなどのログイン画面へアクセスする(http) |
| ポート5555 | Android開発用環境からIoT機器アクセスする(ADB) |
IoT機器はインターネットにつながっている機器という認識が薄く、ログインIDやパスワードを購入時のまま変更してなかったり、変更していても簡単なものに設定してしまっていたりすることも多いようです。犯罪者はそのような機器を狙っています。
観測パケット数
クルウィットが定点観測しているダークネット観測によると、この四半期におけるダークネット宛のパケット数については、図1の観測結果となりました。特に2020年05月の観測パケット数が多い要因としては、送信元が詐称されたSYN-ACKパケット(バックスキャッタ)の増加によるものです。なぜこのようなパケットが多く観測されたのかは不明ですが、主に企業のサービスサイトを攻撃するために利用されている手法の一つであるため、今後注意が必要です。
図 1 観測パケット数
観測ホスト数
当該期間における観測ホスト数については、2020年5月のホスト数および国内ホスト数が増加していますが、前項でも触れたように、送信元が詐称されたSYN-ACKパケットの増加によるものです。
| 2020年4月 | 2020年5月 | 2020年6月 | |
|---|---|---|---|
| ホスト数 | 456,127 | 3,772,713 | 467,461 |
| 国内ホスト数(*) | 2,313 | 93,005 | 2,546 |
図 2 観測ホスト数
*国内ホスト数:IPアドレスを逆引きして.jpドメインだったもの
宛先ポート番号
当該期間における宛先ポート番号については、23/TCP(telnet)を狙ったパケットを多く観測しました。また、22/TCP(ssh)、80/TCP(http)、 52869/TCP(Unassigned)についても同様にパケットを観測しており、これらは、IoT機器(ルーター等)を狙ったパケットです。傾向として機器の遠隔操作ができるところが狙われています。なお、445/TCP(microsoft-ds)は、従来から発生しているPCを狙ったパケット、1433/TCP(ms-sql-s)は、データベースサーバーを狙ったパケットです。
| 順位 | 2020年4月 | 2020年5月 | 2020年6月 |
|---|---|---|---|
| 1 | 23/TCP | 23/TCP | 445/TCP |
| 2 | 1433/TCP | 445/TCP | 23/TCP |
| 3 | 445/TCP | 1433/TCP | 1433/TCP |
| 4 | 52869/TCP | 80/TCP | 52869/TCP |
| 5 | 80/TCP | 22/TCP | 80/TCP |
図 3 宛先ポート番号
送信元の国別観測状況
当該期間において、ダークネット宛にどの国からアクセスがあったかを調べたものが以下です。
| 順位 | 2020年4月 | 2020年5月 | 2020年6月 |
|---|---|---|---|
| 1 | アメリカ(US) | アメリカ(US) | 不明(N/A) |
| 2 | 不明(N/A) | 中国(CN) | スイス(CH) |
| 3 | 中国(CN) | 不明(N/A) | アメリカ(US) |
| 4 | RU(ロシア) | RU(ロシア) | SC(セーシェル) |
| 5 | SC(セーシェル) | SC(セーシェル) | 中国(CN) |
図 4 送信元の国別観測状況
考察
テレワーク推進に伴い家で仕事をされる機会が増え、会社と比較してセキュリティ対策がなされていない家庭が狙われる可能性が高く注意が必要です。一般的な家庭用のルーターでは、正しく設定をしていても、セキュリティは万全ではありません。接続したことがある機器を一覧で把握したり、ネットワーク内外からの攻撃を遮断したりすることを、十分にすることが出来ません。セキュリティソフトを入れることができないルーターやIoT機器を狙う手口は、今後も増加することが予想されます。テレワークを行う場合は、5年以上前のルーターは買い替える、仕事用のパソコンは家庭で利用している他の機器と直接通信が出来ないように、ネットワークを分けるなどの対策をとることが望ましいでしょう。
BBソフトサービス株式会社について
ソフトバンクグループにおいて、セキュリティ製品を主軸とするソフトウェアサービスを、ISPや携帯電話会社などの通信事業者を通じて提供しています。サービス提供のみならず、フィッシング対策協議会やその他の社外団体を通じた情報セキュリティに関する啓発活動にも積極的に取り組んでいます。一般消費者のサイバー犯罪被害を減らし、よりよいインターネット利用環境を全てのユーザーに提供することで社会貢献を目指してまいります。
会社概要
株式会社クルウィットについて
「インターネットサービス」と「情報セキュリティ」の二つの事業を中心に、誰でも安心してインターネットが利用できるよう研究開発を行っています。その研究開発で培った技術やノウハウをもとにダークネット監視サービス「SiteVisor」を開発・運用しています。事業を通じてお客さまに末永く満足いただけるサービスを提供していくと同時に企業価値・信用度・認知度の向上に務めてまいります。
