国立研究開発法人情報通信研究機構(NICT)のサイバーセキュリティ研究所は2019年2月6日、サイバー攻撃の通信を観測したレポート『NICTER観測レポート2018』を公開した。2018年に観測したサイバー攻撃関連の通信は、2017年と比べて約1.4倍と増加傾向にある。
NICTER観測レポート2018は、サイバー攻撃の通信を観測したレポートである。インターネット上の不正な活動の傾向を把握するため、ダークネット(インターネット上で到達可能かつ未使用のIPアドレス空間)のうち約30万IPアドレスを観測対象として設定し、これらに到着したパケットの傾向をまとめている。
2018年の1年間にダークネット観測網(約30万IPアドレス)で観測したサイバー攻撃関連の通信は、合計で2121億パケットに上り、1IPアドレス当たりでは約79万パケットになる。2017年と比べて約1.4倍に増えている(図1)。
図1:NICTERダークネット観測統計(過去10年間)(出典:国立研究開発法人情報通信研究機構)拡大画像表示
攻撃パケットの内訳として、海外組織からの調査目的と見られるスキャンが増えている。2017年のスキャンパケットは総観測パケット数の6.8%だが、2018年は35%(753億パケット)へと大幅に増えた。
調査目的のスキャンパケットを除いた上で、主な攻撃対象(あて先ポート番号)のトップ10を調べたデータが図2である。円グラフの青色の部分が、Webカメラやホームルーターなどの、IoT機器に関連したサイバー攻撃関連通信である。
図2:あて先ポート番号別パケット数分布(調査目的のスキャンパケットを除く)(出典:国立研究開発法人情報通信研究機構)拡大画像表示
2017年には、トップ10のポートが全体の半数以上を占めていたが、2018年は46%とおよそ半数に減っている。減った理由としては、Telnet(23/TCP)を狙った攻撃パケット数が548億パケットから294億パケットへと大きく減ったことがある。
その他のポート(Other Ports)の占める割合は、全体の半数以上と目立つが、IoT機器で使っているポート(機器のWeb管理インタフェース用ポートやUPnP関連ポート、機器に固有のサービス用ポートなど)を多数含んでおり、これらのポートを合わせると全体の約半数が IoT機器で動作するサービスや脆弱性を狙った攻撃である。
