[調査・レポート]

2019年2月6日(水)日川 佳三（IT Leaders編集部）

リスト

　NICTER観測レポート2018は、サイバー攻撃の通信を観測したレポートである。インターネット上の不正な活動の傾向を把握するため、ダークネット（インターネット上で到達可能かつ未使用のIPアドレス空間）のうち約30万IPアドレスを観測対象として設定し、これらに到着したパケットの傾向をまとめている。

　2018年の1年間にダークネット観測網（約30万IPアドレス）で観測したサイバー攻撃関連の通信は、合計で2121億パケットに上り、1IPアドレス当たりでは約79万パケットになる。2017年と比べて約1.4倍に増えている（図1）。

図1：NICTERダークネット観測統計（過去10年間）（出典：国立研究開発法人情報通信研究機構）
拡大画像表示

　攻撃パケットの内訳として、海外組織からの調査目的と見られるスキャンが増えている。2017年のスキャンパケットは総観測パケット数の6.8％だが、2018年は35％（753億パケット）へと大幅に増えた。

　調査目的のスキャンパケットを除いた上で、主な攻撃対象（あて先ポート番号）のトップ10を調べたデータが図2である。円グラフの青色の部分が、Webカメラやホームルーターなどの、IoT機器に関連したサイバー攻撃関連通信である。

図2：あて先ポート番号別パケット数分布（調査目的のスキャンパケットを除く）（出典：国立研究開発法人情報通信研究機構）
拡大画像表示

　2017年には、トップ10のポートが全体の半数以上を占めていたが、2018年は46％とおよそ半数に減っている。減った理由としては、Telnet（23/TCP）を狙った攻撃パケット数が548億パケットから294億パケットへと大きく減ったことがある。

　その他のポート（Other Ports）の占める割合は、全体の半数以上と目立つが、IoT機器で使っているポート（機器のWeb管理インタフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど）を多数含んでおり、これらのポートを合わせると全体の約半数が IoT機器で動作するサービスや脆弱性を狙った攻撃である。