総務省・情報通信研究機構(NICT)によるNOTICEが2019年2月から始まりました。
その効果が表れるのはまだ先のことになると思いますが、現時点でのインターネット環境の現状についてまとめておきます。
前提
モニタリング環境は以下の通りで、回線自体は一般家庭で契約するような一般的な常時接続回線です。
- 国内大手ISPの回線
- WAN側アドレス(GlobalIPアドレス)として、IPv4アドレスがPPP接続の都度ランダムに割り当てられる
- ルーターのF/W機能が出力する接続遮断履歴を基に情報を抽出
- 対象期間:2019年2月(日本時間)
月間サマリ
前掲のGIFは毎日不審な接続がたくさん試みられているのだ、ということは視覚的に良く判ると思いますが、月で集計するとどうなるのかは見えてきません。
というわけで、面倒ですが手作業*1で集計してみました。
ポート別
- TCP#23,445が圧倒的大多数を占める
- TCP#23でTelnetサーバーを実行しているホストは現在では少ないと思われるものの、古い機器などではまだ使われている
そんな機器があれば攻撃の踏み台などの目的で乗っ取りたい、あるいは機器自身に有益な情報があれば盗みたいといった意図でポートスキャンされているのだと想像される - ポートスキャンの後、ポートが開いているならブルートフォースか辞書攻撃かを試みてくるのではないかと想像される
- TCP#445はWindowsファイル共有(SMB)で使われるポートであり、多くのWindows PC・サーバーで有効にされていると考えられる
さらにWindowsから接続されるNAS(その中身は多くの場合Linux)といった機器でも使われていることから、このポートが開いている可能性は相対的に高い
隙あらばデータを盗もうという意図でポートスキャンされているのだと想像される
- TCP#23でTelnetサーバーを実行しているホストは現在では少ないと思われるものの、古い機器などではまだ使われている
- 3番目に多いのはTCP#1433でSQL Serverの接続に使われるポート
- 普通の個人がSQL Serverを運用していることは考えにくいが、アプリケーションのバックエンドのDBとして使われていることがある*2
- 個人の環境にSQL Serverが導入されていたとしても、盗む価値のある情報があるとは考えにくく、基本的には企業内の情報を盗む意図であると考えられる
- 或いはSQL Serverのリモートからコードが実行される系の脆弱性(に対するパッチを適用していない状態)を狙って、攻撃の踏み台として乗っ取りたいという意図も考えられる
- 4番目に多いのはTCP#22でSSH
- 攻撃の踏み台などの目的で乗っ取りたい、あるいは端末自身に有益な情報があれば盗みたいといった意図でポートスキャンされているのだと想像される
- ポートスキャンの後、ポートが開いているならブルートフォースか辞書攻撃かを試みてくるのではないかと想像される
- 5番目に多いのはTCP#52869
- 一般に使われるポートではない
- Miraiと呼ばれるワーム及びその亜種による特定のルータに存在する脆弱性を狙った攻撃と考えられる
NOTICEによる接続試行状況