セキュリティ情報
JPCERT/CC、2021年7~9月期のインターネット定点観測レポートを公開
JPCERT/CCは10月19日、2021年7~9月期のインターネット定点観測レポートを公開した。
「インターネット定点観測レポート」は、インターネット上に分散配置した複数の観測用センサーを用いてインターネット上を流れるパケットを継続的に収集し、その分析結果をまとめたもの。脆弱性の情報やマルウェアなどの情報と併用することによって、サイバー攻撃活動などの兆候を把握しようとする取り組み。
7~9月期に国内で観測されたパケットの宛先ポート番号のトップ5は次の通り。
1位 23/TCP(telnet)
2位 6379/TCP(redis)
3位 22/TCP(ssh)
4位 445/TCP(microsoft-ds) 1
5位 80/TCP(http)
この中で、「6379/TCP」への増加は注目点となっている。6379/TCPはインメモリデータベースRedisの待ち受けポートとして使用されることが多いポート番号。6379/TCP宛のパケットは、中国を送信元とするパケットが8割を超えており、次いで米国、シンガポール、香港、ロシアといった地域からのパケットが観測された。
JPCERT/CCでは、6379/TCP宛てパケットの送信元の一部が、不正アクセスを試みるリクエストであることも確認したという。パケットの送信元については、特定のOSやソフトウェアが稼働しているなど共通する要素は見られていないという。仮に何らかの脆弱性を対象とした攻撃が行われ、その結果マルウェアに感染したホストから6379/TCP宛のパケットが送信されるようになったとすると、日本国内を含むさまざまな地域で6379/TCP宛のパケットを送信するホストが増えるはずだが、そうした変化も見られていない。そのため、この事象の背景は、マルウェア感染でなく、サーバーが侵入を受けて攻撃の踏み台にされているケースや、攻撃者がインフラを用意しているケースなどに絞られる。それ以上は現在のところ原因がはっきりしていない。
いずれにせよ、サーバーの管理者は管理するサーバーに意図しないアクセスなどがないことを確認し、対策を取ることが肝要としている。
(川原 龍人/びぎねっと)
[関連リンク]
レポート本文