金融機関等を狙ったDDoS攻撃を観測、脅迫型DDoS攻撃も警戒が必要 ~ダークネット観測リポート(FY2020 2Q)~
BBソフトサービス株式会社
株式会社クルウィット
BBソフトサービス株式会社(以下、「BBSS」)と株式会社クルウィット(以下、「クルウィット」)は、IoT機器やサイバー攻撃の実態を可視化するため、ダークネット観測リポート(2020年7月~9月分)を発行します。
観測パケット数
2020年7~9月期におけるダークネット宛のパケット数については、図1の観測結果となりました。探索目的と思われるUDPパケットのスキャンが多く見受けられ、また金融機関等を狙ったと思われるDDoS攻撃の通信も観測されました。特に2020年8月以降からは、金銭を支払わなければDDoS攻撃を行うといったランサムDDoS攻撃が、複数のサイバー攻撃者グループにより行われているため、警戒が必要です。
図 1 観測パケット数
観測ホスト数
当該期間におけるダークネット宛に通信をしたホスト数については、9月に探索または調査目的であろうと思われる通信を行う機器の増加を観測しました。
| 2020年4月 | 2020年5月 | 2020年6月 | 2020年7月 | 2020年8月 | 2020年9月 | |
|---|---|---|---|---|---|---|
| ホスト数 | 45万6,127 | 377万2,713 | 46万7,461 | 45万1,330 | 40万7,424 | 60万720 |
| 国内ホスト数(*) | 2,313 | 93,005 | 2,546 | 3,066 | 3,128 | 2,500 |
図 2 観測ホスト数
*国内ホスト数:IPアドレスを逆引きして.jpドメインだったもの
宛先ポート番号
当該期間におけるダークネット宛への宛先ポート番号の観測状況については、445/TCP(microsoft-ds)を狙った通信を観測しており、7月下旬と9月上旬に一時的な通信量の増加を確認しました。次に1433/TCP(ms-sql-s)は、Windowsのデータベースサーバーを狙った通信であり、445/TCPと同様にPCを対象とした通信も従来から続いています。そして、22/TCP(ssh)、23/TCP(telnet)、80/TCP(http)については、IoT機器(ルーター等)を狙った通信であり、実際にはIoT機器に対する通信が多く観測されています。
| 順位 | 2020年4月 | 2020年5月 | 2020年6月 | 2020年7月 | 2020年8月 | 2020年9月 |
|---|---|---|---|---|---|---|
| 1 | 23/TCP | 23/TCP | 445/TCP | 445/TCP | 445/TCP | 445/TCP |
| 2 | 1433/TCP | 445/TCP | 23/TCP | 23/TCP | 23/TCP | 23/TCP |
| 3 | 445/TCP | 1433/TCP | 1433/TCP | 1433/TCP | 1433/TCP | 1433/TCP |
| 4 | 52869/TCP | 80/TCP | 52869/TCP | 80/TCP | 22/TCP | 22/TCP |
| 5 | 80/TCP | 22/TCP | 80/TCP | 22/TCP | 80/TCP | 80/TCP |
図 3 宛先ポート番号
送信元の国別観測状況
当該期間におけるダークネット宛に通信をした国別状況については、図4の観測結果となりました。
| 順位 | 4月 | 5月 | 6月 | 7月 | 8月 | 9月 |
|---|---|---|---|---|---|---|
| 1 | アメリカ(US) | アメリカ(US) | 不明(N/A) | 不明(N/A) | 不明(N/A) | アメリカ(US) |
| 2 | 不明(N/A) | 中国(CN) | スイス(CH) | アメリカ(US) | アメリカ(US) | 不明(N/A) |
| 3 | 中国(CN) | 不明(N/A) | アメリカ(US) | 中国(CN) | 中国(CN) | セーシェル(SC) |
| 4 | ロシア(RU) | ロシア(RU) | セーシェル(SC) | セーシェル(SC) | セーシェル(SC) | 中国(CN) |
| 5 | セーシェル(SC) | セーシェル(SC) | 中国(CN) | ロシア(RU) | ロシア(RU) | ロシア(RU) |
図 4 送信元の国別観測状況
考察
この3カ月の傾向として、攻撃者はPCのネットワークやサーバーを狙ってセキュリティホールを探す探索・調査を行っている傾向があります。見境なしに攻撃できる対象を探しており、セキュリティ対策を怠ってしまうと侵入されてしまう可能性があります。また最近の傾向として金銭を払わないとDDoS攻撃を行うといったランサムウエアに似た脅迫型の攻撃も出てきており注意が必要です。
今回の観測データで、DDoS攻撃の元となっている機器について詳細に確認できておりませんが、セキュリティ対策の取られていないIoT機器もDDoS攻撃に利用されていると考えられます。過去にはIoT機器の脆弱性を狙うマルウエア「Mirai」にISPルーターが感染し、ユーザーがインターネット接続できなくなったり、ボットネット化したIoT機器がサイバー攻撃に利用されるという事例がありました。このようなIoTボットネットの派生は現在も作られ続けています。家庭内のIoT機器が多様化し、在宅勤務で家庭のインターネット環境の安定性・安全性への需要も高まる中、ホームネットワークとIoT機器を安全に保つ対策が求められます。
IoT機器を攻撃から守るためには?
1. IoT機器をしっかり調べて購入する
安くてセキュリティ対策がしっかり施されていない製品もあるため、メーカーホームページでセキュリティ対策を実施しているか?もしくはセキュリティパッチ情報が定期的に更新されているかどうかを確認しましょう。
2. 初期パスワードを変更する
多くのルーターやIoT機器には、メーカーが初期パスワードを設定しています。このパスワードを変更しないまま放置しておくと、不正侵入の原因となるため、必ず変更するようにしてください。パスワードは8文字以上で作成し、大文字・小文字・数字・特殊文字を使用すると強度が高くなります。
3. セキュリティ更新や修正情報を確認する
メーカーが発表している最新のセキュリティパッチ情報を常に確認し、OSやファームウェアを最新に保つようにしてください。または脆弱性診断ツールを使用して、自動的にこれらの情報を確認できるようにすると便利です。
4.IoT機器専用のWi-Fiネットワークを作る
IoT機器用にもう1台ルーターを用意し、個人情報など重要な情報を保存しているPCやリモートワークで使用するPC等と、IoT機器のWi-Fiネットワークを分けておきます。この方法により、万が一IoT機器がハッキングされた場合でも、個人情報に侵入される心配はありません。多くのルーターは、ゲストネットワークを設定できるようになっていますので、この機能も活用しましょう。
5.専用のソリューション(セキュリティ機能付きWi-Fiルーター)を導入する
SECURIE powered by Bitdefenderは、IoT機器、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。
ダークネット観測リポートとは
クルウィットは、組織内外のダークネットを活用してIoT 機器や PC を監視する「SiteVisor」を提供しています。「SiteVisor」では、誰も利用していないIPアドレス(ダークネット)に観測機器を配置し、そのIPアドレス宛に「どのような攻撃を想定した通信があったか」を調査しています。ダークネット観測リポートは、「SiteVisor」で観測したデータを基に、IoT機器などへのサイバー攻撃の傾向をまとめたものです。
IoT機器への攻撃
IoT機器を攻撃する専用のウイルスがあり、代表的なマルウエア「Mirai」といわれるものがあります。スマートスピーカーなどのIoT機器を踏み台にして、企業のサーバーなどを攻撃します。たとえIoT機器がマルウエアに感染したとしても、利用者に実被害がでる可能性は低いこともありますが、犯罪者に利用され犯罪の片棒を担ぐこととなります。
今後はIoT機器の誤作動を行うようなマルウエアが出てくる可能性も高く、セキュリティ対策を施す必要性があります。
IoT機器への攻撃の種類
犯罪者はポートを利用して攻撃を仕掛けてきます。ポートとは機器同士が通信を行うときのドア(出入口)のようなもので番号がつけられています。犯罪者がよく使うのは「遠隔操作ができる」ポートです。これを悪用すれば、IoT機器を含めたパソコンやIoT機器を操作することができます。
| ポート番号 | 役割 |
|---|---|
| ポート22 | 管理用コマンドを使った遠隔操作をする (ssh) |
| ポート23 | 管理用コマンドを使った遠隔操作をする(telnet) |
| ポート80 | ルーターなどの管理画面へアクセスする (http) |
| ポート81 | ルーターなどの管理画面へアクセスする(http) |
| ポート8080 | Webカメラやルーターなどのログイン画面へアクセスする(http) |
| ポート5555 | Android開発用環境からIoT機器アクセスする(ADB) |
IoT機器はインターネットにつながっている機器という認識が薄く、ログインIDやパスワードを購入時のまま変更してなかったり、変更していても簡単なものに設定してしまっていたりすることも多いようです。犯罪者はそのような機器を狙っています。
BBソフトサービス株式会社について
ソフトバンクグループにおいて、セキュリティ製品を主軸とするソフトウェアサービスを、ISPや携帯電話会社などの通信事業者を通じて提供しています。サービス提供のみならず、フィッシング対策協議会やその他の社外団体を通じた情報セキュリティに関する啓発活動にも積極的に取り組んでいます。一般消費者のサイバー犯罪被害を減らし、よりよいインターネット利用環境を全てのユーザーに提供することで社会貢献を目指してまいります。
会社概要
株式会社クルウィットについて
「インターネットサービス」と「情報セキュリティ」の二つの事業を中心に、誰でも安心してインターネットが利用できるよう研究開発を行っています。その研究開発で培った技術やノウハウをもとにダークネット監視サービス「SiteVisor」を開発・運用しています。事業を通じてお客さまに末永く満足いただけるサービスを提供していくと同時に企業価値・信用度・認知度の向上に務めてまいります。
