ビットコイン関連のバックスキャッタを観測 ～ダークネット観測リポート（FY2020 3Q）～

BBソフトサービス株式会社
株式会社クルウィット

BBソフトサービス株式会社（以下、「BBSS」）と株式会社クルウィット（以下、「クルウィット」）は、IoT機器やサイバー攻撃の実態を可視化するため、ダークネット観測リポート（2020年10～12月分）を発行します。

観測パケット数

2020年10～12月期におけるダークネット宛のパケット数については、図1の観測結果となりました。11月にはビットコイン関連のバックスキャッタ、12月には送信元を詐称したSYNパケットの増加が見られました。

図 1　観測パケット数

※バックスキャッタとは
攻撃者が送信元のIPアドレスを偽装し、攻撃対象のホストにDDoS攻撃を行っていた場合、応答パケットは攻撃者のIPアドレスではなく、偽装されたホストに向けて送り返されます。この応答パケットのことをバックスキャッタと呼びます。

観測ホスト数

当該期間におけるダークネット宛に通信をしたホスト数については、表2の観測結果となりました。2020年12月に国内ホスト数の増加が見られますが、これは送信元IPアドレスを詐称したSYNパケットによるものです。

図 2　観測ホスト数

*国内ホスト数：IPアドレスを逆引きして.jpドメインだったもの

宛先ポート番号

当該期間におけるダークネット宛への宛先ポート番号の観測状況は図3の観測結果となりました。7～9月から引き続き445/TCP(microsoft-ds)と1433/TCP（ms-sql-s）Windows系ホストを狙った通信が見られます。7-9月から引き続き22/TCP(ssh)、23/TCP(telnet)、80/TCP(http)への通信が見られ、主にIoT機器やルーターなどを狙っているものと想定されます。

図 3　宛先ポート番号

送信元の国別観測状況

当該期間におけるダークネット宛に通信をした国別状況については、図4の観測結果となりました。

図 4　送信元の国別観測状況

考察

ビットコイン関連のバックスキャッタを観測しました。バックスキャッタはDDoS攻撃に伴って副次的に発生したことが考えられるため、DDoS攻撃が活発化していることが想定されます。過去には仮想通貨ウォレット「エレクトラム」の脆弱性が狙われビットコインが盗まれる事件があり、脆弱性の対策を行うパッチの配布をDDoS攻撃によって妨害されました。これらの攻撃との関連や、昨年末から価格が上昇しているビットコインを狙ったものかどうかは判断することはできませんが、企業活動やサービスの妨害につながる可能性のある攻撃には注意が必要です。

IoT機器を攻撃から守るためには？

1. IoT機器をしっかり調べて購入する
安くてセキュリティ対策がしっかり施されていない製品もあるため、メーカーホームページでセキュリティ対策を実施しているか？もしくはセキュリティパッチ情報が定期的に更新されているかどうかを確認しましょう。

2. 初期パスワードを変更する
多くのルーターやIoT機器には、メーカーが初期パスワードを設定しています。このパスワードを変更しないまま放置しておくと、不正侵入の原因となるため、必ず変更するようにしてください。パスワードは8文字以上で作成し、大文字・小文字・数字・特殊文字を使用すると強度が高くなります。

3. セキュリティ更新や修正情報を確認する
メーカーが発表している最新のセキュリティパッチ情報を常に確認し、OSやファームウェアを最新に保つようにしてください。または脆弱性診断ツールを使用して、自動的にこれらの情報を確認できるようにすると便利です。

4.IoT機器専用のWi-Fiネットワークを作る
IoT機器用にもう1台ルーターを用意し、個人情報など重要な情報を保存しているPCやリモートワークで使用するPC等と、IoT機器のWi-Fiネットワークを分けておきます。この方法により、万が一IoT機器がハッキングされた場合でも、個人情報に侵入される心配はありません。多くのルーターは、ゲストネットワークを設定できるようになっていますので、この機能も活用しましょう。

5.専用のソリューション（セキュリティ機能付きWi-Fiルーター）を導入する
SECURIE powered by Bitdefenderは、IoT機器、PC、タブレット、スマートフォンなどをまとめて保護します。弱いパスワードなどのデバイスの脆弱性を自動的にスキャンする脆弱性診断や、普段の動きを把握し、異なる通信をした場合に検知する異常検知、攻撃の侵入検知など、ホームネットワークを侵入から防ぐ機能が搭載されています。さらに、高性能セキュリティソフトが台数無制限でご利用いただけますので、外出中でもモバイルデバイスを守ることができます。

ダークネット観測サービス「SITE VISOR」とは

ダークネットを活用し、IoT 機器や PC を監視する対サイバー攻撃アラートサービス (システム) です。国立研究開発法人情報通信研究機構 (NICT)が研究開発した対サイバー攻撃アラートシステム "DAEDALUS"をクルウィットが商用化いたしました、グローバル IP アドレス (外部) ダークネットは インシデント分析システム NICTERの分散型大規模ダークネット観測網を利用しており、インターネット上で発生しているサイバー攻撃の現状把握や予兆・監視また攻撃元となる国や組織が分かります。プライベート IP アドレス (内部) ダークネットの監視は、会社などの組織内部でマルウエアに感染している IoT 機器や PC 等を検知できるようになります。

ダークネット観測リポートとは

クルウィットは、組織内外のダークネットを活用してIoT 機器や PC を監視する「SiteVisor」を提供しています。「SiteVisor」では、誰も利用していないIPアドレス（ダークネット）に観測機器を配置し、そのIPアドレス宛に「どのような攻撃を想定した通信があったか」を調査しています。ダークネット観測リポートは、「SiteVisor」で観測したデータを基に、IoT機器などへのサイバー攻撃の傾向をまとめたものです。

IoT機器への攻撃

IoT機器を攻撃する専用のウイルスがあり、代表的なマルウエア「Mirai」といわれるものがあります。スマートスピーカーなどのIoT機器を踏み台にして、企業のサーバーなどを攻撃します。たとえIoT機器がマルウエアに感染したとしても、利用者に実被害がでる可能性は低いこともありますが、犯罪者に利用され犯罪の片棒を担ぐこととなります。

今後はIoT機器の誤作動を行うようなマルウエアが出てくる可能性も高く、セキュリティ対策を施す必要性があります。

IoT機器への攻撃の種類

犯罪者はポートを利用して攻撃を仕掛けてきます。ポートとは機器同士が通信を行うときのドア（出入口）のようなもので番号がつけられています。犯罪者がよく使うのは「遠隔操作ができる」ポートです。これを悪用すれば、IoT機器を含めたパソコンやIoT機器を操作することができます。

IoT機器はインターネットにつながっている機器という認識が薄く、ログインIDやパスワードを購入時のまま変更してなかったり、変更していても簡単なものに設定してしまっていたりすることも多いようです。犯罪者はそのような機器を狙っています。