セキュリティ情報

JPCERT/CC、2014年 4~6月のインターネット定点観測レポートを公開

JPCERT/CCは7月17日、2014年 4~6月のインターネット定点観測レポートを公開した。

インターネット上に複数の観測用センサーを分散配置し、不特定多数(日本宛)に向けて発信されるパケットを収集し、宛先ポート番号や送信元地域ごとに分類し、これを脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析した。

宛先ポート番号別パケット観測数のトップ5は、1位「445/TCP (microsoft-ds) 」2位「22/TCP (ssh)」3位「23/TCP (telnet)」4位「0/ICMP」5位「1433/TCP (ms-sql-s)」。また、送信元地域のトップ5は1位「中国」2位「米国」3位「オランダ」4位「台湾」5位「日本」となっている。

本四半期は、22/TCP宛のパケット数が徐々に増加している。23/TCPについては、前四半期から減少しているが、依然として多い状態。また、送信元ポート番号「53/UDP」を使用するパケット「DNS応答パケット」と、DNSサービスのポート不達を示すICMPエラーパケットが依然として多数観測されており、DNSサーバおよびDNSサーバ宛のパケットを転送する機器を狙ったDDoS攻撃が多数あると考えられるという。この攻撃は、権威サーバを狙ったDDoS攻撃の余波が観測されたものとも考えられ、意図的なものとは限らないが、意図的ではないとしても、悪用されないため、DNSサーバを運用している場合には再帰的な問い合わせの範囲を最小限に限定する、インターネット接続用ルータなどでDNSサーバやDNSフォワーダ機能を持つネットワーク機器を使用している場合は不特定のホストからのDNS問い合わせに応答しない設定にする、という対策を推奨している。

(川原 龍人/びぎねっと)

[関連リンク]
インターネット定点観測レポート(2014年 4~6月)
DNSサーバーの不適切な設定「オープンリゾルバ」について(JPRS)