警察庁の今年上半期のサイバー脅威情勢によると、今年5月中旬ころからIoT機器に対する不正プログラムの感染拡大を狙ったとみられるアクセスが増加しているということです。また、3月から6月にかけてランダムサブドメイン攻撃とみられる攻撃により多数のウェブサイトに閲覧障害が発生したということです。
ポート番号1024以上へのアクセスが多数
警察庁ではインターネット上に外部サービスを提供していないセンサーを設置することで、不特定多数のIPアドレスに無作為に送信されている通信パケットを受信し、その通信パケットを分析することで悪意の内容を分析しているということです。警察庁によると今年上半期にセンサーが検知したアクセス件数は1日に1IPアドレス当たり8219件となり、前年同期比0.4%増加したということです。不特定多数のIPアドレスに無作為に送信されている通信パケットは平成30年以降、年々増加しており、今年上半期はもっとも高い数値になっています。つまり日本のサイバー空間には年を追うごとに「不埒な通信」が増えている実態があるようです。
そして、これら無作為に送信されている通信パケットがどこから送信されているのかというと、今年上半期について言えば1日に1IPアドレス当たり8219件のうち国内を送信元とするのは54.8件にすぎず、残り8164.2件はいずれも海外を送信元としているということです。日本を送信元とするパケットは平成30年以降、いずれも1日に1IPアドレス当たり40~60件にすぎず、ほとんどは海外を送信元としていることから、年を追うごとに件数が増加している実態は、それだけ海外からの「不埒な通信」が増えていることを意味していると考えられます。また、検知したアクセスの宛先ポートに着目するとポート番号1024以上のポートへのアクセスが多数を占めており、ポート番号1024以上のポートへのアクセスの増加が全体の増加を押し上げています。警察庁は「IoT機器では標準設定として1024番以上のポート番号を使用しているものが多いことから、ポート番号1024以上のポートへのアクセスの多くが、脆弱性を有するIoT機器の探索やIoT機器に対するサイバー攻撃を目的とするためとみられる」と分析しています。
ランダムサブドメイン攻撃で閲覧障害が発生
日本のサイバー空間において不特定多数のIPアドレスに無作為に送信されている通信が年々増えており、その多くは海外から発信されており、国内のIoT機器が狙われている実態があるようです。一方で警察庁の脅威情勢によると、今年5月中旬ころから宛先ポート52869/TCPに対して国内を送信元とするアクセスが増加、このポートは過去にマルウェアのMiraiがIoT機器の脆弱性を悪用して感染拡大を行う際に狙われていることから、今回もMirai等の感染拡大を狙ったものと警察庁は分析しています。MiraiはLinuxで動作するコンピューターをボット化するマルウェアです。ボット化したコンピューター群は遠隔操作によりDDoS攻撃などに悪用されます。警察庁の脅威情勢によると、3月から6月にかけてランダムサブドメイン攻撃とみられる攻撃が起き多数のウェブサイトで閲覧障害が発生したということです。ランダムサブドメイン攻撃とはDNSサーバーに大量の負荷をかけてサービス停止に追い込むDDoS攻撃の一種だということです。
Miraiボットの拡大を狙ったとみられるアクセスの増加とランダムサブドメイン攻撃との間に関係があるのかどうかわかりませんが、日本国内のIoT機器に対して海外から「不埒な通信」が増えており、国内からの送信においてはMiraiによるIoT機器のボット化を狙ったとみられる動向が伺え、一方でウェブサイトにおいてはDDoS攻撃の一種であるランダムサブドメイン攻撃が発生した、今年上半期におけるこうした情勢が警察庁のレポートから伺えます。
■出典
https://www.npa.go.jp/publications/statistics/cybersecurity/