2019年のサイバー攻撃関連通信、調査目的のスキャンが過半数に：IoTセキュリティ

情報通信研究機構サイバーセキュリティ研究所が、「NICTER観測レポート2019」を公開した。サイバー攻撃関連通信において、総パケットのうち調査目的のスキャンが占める割合が、2018年の35％から2019年は53％と過半数になった。

[MONOist]

　情報通信研究機構（NICT）サイバーセキュリティ研究所は2020年2月10日、NICTERプロジェクトにおける2019年のサイバー攻撃関連通信の観測、分析結果をまとめた「NICTER観測レポート2019」を公開した。

　NICTERは、NICTが研究開発しているシステムで、ネットワーク上で発生するさまざまな情報セキュリティ上の脅威を把握し、有効な対策を導く。2019年の観測結果では、NICTERの約30万IPアドレスのダークネット観測網において、合計3279億パケットのサイバー攻撃関連通信が観測された。1IPアドレス当たり約120万パケットが届いた計算となる。

　2019年の総観測パケット数は、前年より約1160億増加した。海外組織が調査目的で実行したとみられるスキャンの増加が原因だ。総パケットのうち調査スキャンが占める割合は、2017年が6.8％、2018年は35％だったが、2019年はさらに増加して53％の1750億パケットとなった。

1IPアドレス当たりの年間総観測パケット数 出典：NICT

　調査目的のスキャンパケットを除くと、2019年にNICTERで観測された主な攻撃対象（宛先ポート番号）は、「23／TCP」（24.2％）、「445／TCP」（5.4％）、「22／TCP」（3.5％）となっている。

宛先ポート番号別パケット数分布（調査目的のスキャンパケットを除く） 出典：NICT

　Telnet（23／TCP）への攻撃パケット数が294億パケットから364億パケットへと増加したことで、上位10位までのポートが全体に占める割合は前年の46％から増えて、49％となった。また、48.9％と約半数を占める「その他」のポートには、IoT（モノのインターネット）機器のサービスや脆弱性を狙った攻撃が多数含まれている。

　Windows関連の傾向としては、ファイルやプリンタの共有で用いられる445／TCPを標的とする攻撃が前年同様目立っており、リモートデスクトップサービスに使われる3389／TCPも上位に入った。

　その他、2019年に特徴的な事象として、SSL VPN製品の脆弱（ぜいじゃく）性を悪用する攻撃が世界中で観測された。また、botに感染したホストが、これまでに観測されていない新たなポートの組み合わせで攻撃する事象も見られた。

　IoT機器の脆弱性が公開された後には、その脆弱性を有するホストに関する調査スキャンやそれを悪用したマルウェア攻撃が観測されることが増えてきた。感染や被害拡大を防ぐための、迅速な脆弱性対策が求められる。