総務省・情報通信研究機構のNOTICEが始まった(追記有)

 本日(2019年2月20日)から総務省情報通信研究機構(NICT)によるNOTICE*1と呼ばれるサイバー攻撃に悪用される恐れがあるIoT機器の調査及び当該機器の利用者への注意喚起を行う施策が開始されました。

※NOTICEと命名されるまでは、当ブログでは合法不正アクセスと記載していましたが、以降はNOTICEと記載します。
情報通信研究機構の合法不正アクセスの事前調査っぽい接続を調べる - 記憶は人なり
情報通信研究機構の合法不正アクセスの接続元等 - 記憶は人なり
 

NOTICEでポートスキャンを受けたログ

 本投稿記載時点では、まだ1回だけですが早速ポートスキャンを受けたログを確認できました(念のためNICTが私を特定できる情報は伏せています)。

2019-02-20T11:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.226.170 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=50404 DPT=22 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0

 153.231.226.170 (NICTのお知らせで、NOTICEの調査に使用するIPアドレスとして公開されている 153.231.226.168/29 に該当)から、TCP22番ポートすなわちSSH接続用のポートが開いてないか調べに来たようですが、ルーターに遮断されたことが記録されています。
 

(2019/2/20 19:30追記)
 現時点では2回目のポートスキャンを受けたログを確認できました。

2019-02-20T17:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.226.170 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=50753 DPT=80 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0

 前回と同一のNICTIPアドレスから、今度はTCP80番ポートすなわちHTTP接続用に使われるポートが開いていないか調べに来たようです。
 

(2019/2/21 19:30追記)
 約1分程度の間に11回のポートスキャンを受けていました。事前調査の時を含め、これまでで最もNICTによる単位時間当たりのポートスキャン回数が多くなっています。

2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=8080 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約16秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=80 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約2秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=22 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約6秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=23 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約1秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=8000 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約3秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=23023 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約1秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=2222 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約8秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=21 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約2秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=443 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約2秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=81 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約0秒後
2019-02-21T12:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.216.178 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40781 DPT=2323 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0

 前日とは異なり153.231.216.178からのポートスキャンとなっています。前日はSSH(TCP#22), HTTP(TCP#80)を単発的に調べに来ただけでしたが、今日はFTP(TCP#21), SSH(TCP#22), Telnet(TCP#23), HTTP(TCP#80), HTTPS(TCP#443)といったWell-knownポートに加え、TCP#80の代用として使われることの多い#8080, #8000, #81や、#2222, #2323, #23023といった見慣れないポート*2に対しても短時間内に連続してポートスキャンを受けているのが特徴的です。
 前日の単発のポートスキャンは悪意を感じられないポートスキャンですが、今日のは悪意を持って行われるポートスキャン*3と同様に開いているポートをそそくさと調べているような印象を受けます。(実運用に堪えないほど)シビアな設定をしたIDS(Intruder Detection System; 侵入検知システム)であれば、アラートを発生させることができるかもしれません。
 

 上記の約6時間後にも、再び約1分程度の間に11回のポートスキャンを受けています。発信元IPアドレスも再び変わって153.231.215.10となっていますが、6時間前と同一のポートに対してポートスキャンされています。
 なお、この約6時間の間で私側のGlobal IPアドレスは変わっていませんので、ポートスキャン済のIPアドレス・ポートに対しても、NICTは反復してポートスキャンをかけていることが判ります。発信元IPアドレスが同じだとIDSがアラートを上げる可能性が高まるため、(企業内のネットワーク管理者やシステム運用担当者の不要な業務を増やさないように配慮して、)敢えて違うIPアドレスからポートスキャンをしているのかもしれません。
 ポートスキャン済のIPアドレス・ポートに対しても反復的にポートスキャンを行っているのは、多くの個人ユーザは固定IPアドレス契約ではなく、PPP接続する都度IPアドレスが変わる接続形態であることを踏まえ、同一IPアドレスでも時間が違えば別の機器が繋がっている(別のユーザに払い出されている)可能性を考慮してのことではないかと考えられます。

2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=23023 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約0秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=443 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約4秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=22 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約1秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=80 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約1秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=23 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約5秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=21 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約3秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=8080 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約6秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=81 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約6秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=2323 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約12秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=8000 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0
…約1秒後
2019-02-21T18:MM:SS+09:00 router.asus.com kernel: DROP IN=ppp0 OUT= MAC= SRC=153.231.215.10 DST=***.***.***.*** LEN=40 TOS=0x00 PREC=0x00 TTL=244 ID=***** PROTO=TCP SPT=40679 DPT=2222 SEQ=********** ACK=0 WINDOW=1024 RES=0x00 SYN URGP=0

 

(2019/2/26 追記)
 2019/2/22~24はNICTからのポートスキャンは受けませんでした。
 2019/2/25に153.231.216.186からTCP#23, #23023に各1回ずつポートスキャンを受け、2/26に153.231.215.10と153.231.226.162からTCP#22, #80, #8080, #443に各1回ずつポートスキャンを受けています。
 宛先ポートについてはこれまでと特に変わった傾向はみられませんが、2/21の活発なポートスキャンと異なり、各ポートスキャンは数分から数時間置きの低頻度で散発的に行われており、同じプログラムの挙動ではなさそうに思えます。特に153.231.215.10については、2/21に活発にポートスキャンをかけてきたIPアドレスと同じですが、2/26には慎ましいポートスキャン動作に代わっています。このことから察するに、NICT側でポートスキャンを実行しているスクリプトが変わったのかもしれません*4
 
 なお、NOTICEの動向を含めたインターネット環境からの不審な接続の試行について、2月分の監視結果は以下の投稿にまとめてあります。
wave.hatenablog.com
 



以上。

*1:National Operation Towards IoT Clean Environment

*2:TCP#80の代用としての#8080と同様に、#22や#23の代用として#2222や#2323を使っている事例も多いんでしょうかね?#23023は何らかのtrojanが使用しているらしいです。

*3:NICTに悪意があると言っているのではありません。

*4:単なる邪推に過ぎませんが、どこかの省庁や自治体や企業などからIDSが作動した等のクレームでも入ったのでしょうかね?