JPCERT/CC インターネット定点観測レポート[2014年7月1日~9月30日]

Similar documents
JPCERT/CCインシデント報告対応レポート[2011年7月1日~2011年9月30日]

JPCERT/CCインシデント報告対応レポート[2018年4月1日 ~ 2018年6月30日]

JPCERT/CCインシデント報告対応レポート[2018年10月1日 ~ 2018年12月31日]

JPCERT/CC インシデント報告対応レポート[2017年1月1日-2017年3月31日]

本日のお題目 1. JPCERT/CCの紹介 2. インシデント事例のご紹介 3. インターネットからの探索活動 4. JPCERT/CCからのおねがい 1

インシデントハンドリング業務報告書

SHODANを悪用した攻撃に備えて-制御システム編-

JPCERT/CCインシデント報告対応レポート[2018年7月1日~ 2018年9月30日]

ログを活用したActive Directoryに対する攻撃の検知と対策

Zone Poisoning

HULFT Series 製品における Javaの脆弱性(CVE )に対する報告

Active Directory のログ調査の重要性 2018 年 4 月 26 日 東京大学大学院情報学環 セキュア情報化社会研究寄付講座

OP2

目次 1 はじめに AWS が提供するセキュリティモデル 責任共有モデルとセキュリティについて 検討すべきセキュリティ対策のポイント ミドルウェアの脆弱性と公開サーバに対する脅威 ミドルウェアで見つかる深刻な脆弱性..

2015 年 4 月 15 日に発表された HTTP.sys の脆弱性 ( ) へ の対応について 製品名 : バージョン : 対象プラットフォーム : カテゴリ : iautolaymagic すべてすべて Web アプリ この度 マイクロソフト社製品において緊急度の高い脆弱性 (CV

CloudEdgeあんしんプラス月次レポート解説書(1_0版) _docx

PowerPoint プレゼンテーション

Microsoft IISのWebDAV認証回避の脆弱性に関する検証レポート

Microsoft PowerPoint 迷惑メール対策カンファレンス_seko.pptx

[重要]WindowsUpdate で公開された MS15-058:セキュリティ更新プログラム

ブロードバンドルータにおける問題(オープンリゾルバ)の解説、対策の説明

新環境への移行手順書

2014 年電子情報通信学会総合大会ネットワークシステム B DNS ラウンドロビンと OpenFlow スイッチを用いた省電力法 Electric Power Reduc8on by DNS round- robin with OpenFlow switches 池田賢斗, 後藤滋樹

iStorage ソフトウェア VMware vCenter Plug-in インストールガイド

ESMPRO/ServerManager Ver. 6 変更履歴

第5回 マインクラフト・プログラミング入門

2004 SYN/ACK SYN Flood G01P014-6

マルウェアレポート 2017年9月度版

Express5800 シリーズ Windows Server 2019 NIC チーミング (LBFO) 設定手順書 Microsoft Windows Windows Server は 米国 Microsoft Corporation の米国およびその他の国における登録商標です その他 記載され

Managed Firewall NATユースケース

なぜIDSIPSは必要なのか?(v1.1).ppt

感染条件感染経路タイプウイルス概要 Authplay.dll (aka AuthPlayLib.bundle) を利用する Adobe Reader 9.x ~ より前のバージョンと 10.x から 上記動作環境に一致した環境下で当該 PDF タイプウイルスを実行することで

JBoss Application Server におけるディレクトリトラバーサルの脆弱性

Drive-by Download 攻撃に おけるRIG Exploit Kitの 解析回避手法の調査

ICT-ISACにおけるIoTセキュリティの取組について

情報通信の基礎

p_network-management_old-access_ras_faq_radius2.xlsx

内容 JPCERT/CCとは 組織の概要 自己紹介世界の大学は今日本の大学 外部からの脅威 内なる脅威大学生とSNS 高まるソーシャルエンジニアリングのリスクインシデントレスポンス時代に即したセキュリティ教育まとめ Page 2

マルウェアレポート 2017年12月度版

ログ取得についてのお願い お客様のご都合でログの内容を修正してご提供いただいた場合には 正確な調査ができかねる場合が ございます ログの内容は修正をせずにそのままお送りいただけますようお願い致します LifeKeeper ログ取得方法 ログ採取にはサーバへの多少の負荷が予想されますので 比較的に負荷

PowerPoint Presentation

はじめての暗号化メール(Thunderbird編)

Microsoft PowerPoint ラック 村上様.ppt

アマチュア無線のデジタル通信

脆弱性対策情報データベース JVN ipedia に関する活動報告レポート [2013 年第 2 四半期 (4 月 ~6 月 )] 脆弱性対策情報データベース JVN ipedia に関する活動報告レポートについて 本レポートでは 2013 年 4 月 1 日から2013 年 6 月 30 日までの

Transcription:

JPCERT-IA-2014-03 発行日 :2014-10-28 JPCERT/CC インターネット定点観測レポート [2014 年 7 月 1 日 ~9 月 30 日 ] 1 概況 JPCERT/CC では インターネット上に複数の観測用センサーを分散配置し 不特定多数に向けて発信されるパケットを継続的に収集し 宛先ポート番号や送信元地域ごとに分類して これを脆弱性情報 マルウエアや攻撃ツールの情報などと対比して分析することで 攻撃活動や準備活動の捕捉に努めています なお 本レポートでは 本四半期に観測された日本宛のパケットを中心に分析した結果について述べます 宛先ポート番号別パケット観測数のトップ 5 を [ 表 1] に示します [ 表 1: 宛先ポート番号トップ 5] 宛先ポート番号 本四半期順位 前四半期順位 23/TCP (telnet) 1 3 445/TCP (microsoft-ds) 2 1 22/TCP(ssh) 3 2 0/ICMP 4 4 1433/TCP (ms-sql-s) 5 5 ポート番号とサービスの対応の詳細は IANA の文書 (*1) を参照してください なお サービス名は IANA の情報をもとに記載していますが 必ずしも各サービスプロトコルに則ったパケットが受信されているとは限りません 図 1 は 期間中のトップ 5 の宛先ポート番号ごとの日々のパケット観測数を示しています 1

[ 図 1:2014 年 7~9 月の宛先ポート番号別パケット観測数トップ 5] 送信元地域のトップ 5 を [ 表 2] に示します [ 表 2: 送信元地域トップ 5] 送信元地域 本四半期順位 前四半期順位 中国 1 1 米国 2 2 台湾 3 4 オランダ 4 3 日本 5 5 図 2 に期間中のトップ 5 のパケット送信元地域からの日々のパケット観測数を示します 2

[ 図 2:2014 年 7~9 月の送信元地域別トップ 5 ごとのパケット観測数 ] 23/TCP 宛のパケット数が 8 月中旬に増加し 本四半期を通じた合計でも 1 位となりました 23/TCP の 現象については 2.1 で詳しく述べます その他については 多少の増減はありますが 特筆すべき状 況の変化は見られませんでした 2 注目された現象 2.1 23/TCP 宛へのパケットの増加 図 3 が示すように 7 月中旬から 9 月上旬にかけて 23/TCP 宛へのパケット数が増加しました telnet を 待ち受けるサーバを搭載したネットワーク機器を対象とする探索活動については 過去の定点観測レポ ート (*2,3,4) でも紹介したことがありましたが 再び活発になっています 3

[ 図 3:2014 年 7~9 月の 23/TCP 宛のパケット観測数 ] 図 4 が示すように本四半期に観測された 23/TCP 宛のパケットの送信元地域のトップは中国で 23/TCP 宛の全パケット数のうち約 5.5 割を占めました 図 1および図 3 が示すように半数以上を占める中国を送信元としたパケットの増加の傾向が そのまま本四半期の 23/TCP の傾向に表れています また 2 位のインドと 3 位の韓国についても若干の増加が見られました [ 図 4:2014 年 7~9 月の 23/TCP 宛の送信元地域割合 ] 4

23/TCP 宛パケットの送信元 IP アドレスについて調査したところ インターネット定点観測レポート (2014 年 1~3 月 ) (*3) で紹介したネットワークカメラ製品および 国外で使用されている特定のブロード バンドルータ製品が多数稼働していました 本四半期の増加は ネットワークカメラ製品やブロードバンドルータなどに Bot プログラムが設置され それらの機器が複数のセンサーに対して頻繁にパケットを送ったことが原因と推測しています 2.2 10000/TCP 宛へのパケットの増加 図 5 が示すように 9 月下旬から 10000/ TCP 宛へのパケット数が増加しました (*5) [ 図 5:2014 年 9 月 20 日から 10 月 9 日までの 10000/TCP 宛のパケット観測数 ] 2014 年 9 月 20 日から 10 月 9 日までに観測した 10000/TCP 宛のパケットの送信元地域別の内訳トップ は米国ですが 米国以外は図 6 と図 7 が示すように日本を含む様々な地域に分散しています 5

[ 図 6:2014 年 9 月 29 日の 10000/TCP 宛のパケット送信イメージ ] [ 図 7:2014 年 9 月 20 日から 10 月 9 日までの 10000/TCP 宛の送信元地域割合 ] 10000/TCP ポートは ウェブベースのシステム管理ツールである Webmin の標準ポートとして利用されています センサーに対して 10000/TCP 宛へのパケットを送信した IP アドレスについて調査したところ Webmin が多数稼働 ( 図 8 は調査結果の一例 ) していることを確認しました ( センサーに対して 10000/ TCP 宛のパケットを送信した IP アドレスを調査した限りでは 国内の IP アドレスは 他の地域よりも高い割合で Webmin が稼働していました ) 6

[ 図 8: 送信元 IP アドレスで稼働する Webmin の一例 ] Webmin で標準の shell として使われることが多い GNU bash に 深刻な脆弱性があったことが 9 月下 旬に公表 (*6) されました この脆弱性を悪用すると Webmin を稼働させているユーザの権限で 任意 のコードを実行することができます (JPCERT/CC では Webmin 1.700 (RPM) と CVE-2014-6271 の影響を受けるバージョンの GNU bash を使用して検証し 任意のコードが実行できることを実際に確認しています ) 標準的なインストールをすると Webmin は管理者 (root) 権限で稼働しますので この脆弱性を悪用されれば管理者権限で任意のコードを実行され得ることになります 今回観測している 10000/TCP 宛のパケットは GNU bash の脆弱性を悪用できる Webmin を探索する ものと推測されます インターネットからアクセス可能なサーバで Webmin がインストールされているかどうかを調査し インストールされていた場合には TCP 10000 番ポートへのスキャンの増加に関する注意喚起 (*7) を参考に適切なセキュリティ対策 ( パッチやアップデート アクセス制御 セキュリティ設定の再確認など ) を実施して 攻撃の踏み台に使用されないよう努めてください また GNU bash の脆弱性については cpanel や Parallels Plesk Panel などシステム管理ツールもの影響を受ける (*8,9) とのことですので Webmin に準じた対策を検討してください cpanel や Parallels Plesk Panel が使用する標準ポート (2082/TCP, 2083/TCP, 8443/TCP) 宛のパケット数は 以前から若干量が観測されてきたものの 9 月下旬の前後における変化はありません 7

3 参考文献 (1) Service Name and Transport Protocol Port Number Registry http://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml (2) JPCERT/CC インターネット定点観測レポート (2012 年 1~3 月 ) https://www.jpcert.or.jp/tsubame/report/report201201-03.html (3) JPCERT/CC インターネット定点観測レポート (2012 年 4~6 月 ) https://www.jpcert.or.jp/tsubame/report/report201204-06.html (4) JPCERT/CC インターネット定点観測レポート (2014 年 1~3 月 ) https://www.jpcert.or.jp/tsubame/report/report201401-03.html (5) @police Bash の脆弱性を標的としたアクセスの観測について ( 第 2 報 ) https://www.npa.go.jp/cyberpolice/topics/?seq=14737 (6) GNU bash の脆弱性に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140037.html (7) TCP 10000 番ポートへのスキャンの増加に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140038.html (8) cpanel Security Team: Bash CVE-2014-6217 and CVE-2014-7169 http://cpanel.net/cpanel-security-team-bash-cve-2014-6217-and-cve-2014-7169/ (9) [Hub] Shellshock 脆弱性 http://kb.sp.parallels.com/jp/123006 本活動は 経済産業省より委託を受け 平成 26 年度サイバー攻撃等国際連携対応調整事業 として実施したものです 本文書を引用 転載する際には JPCERT/CC 広報 (office@jpcert.or.jp) まで確認のご連絡をお願い します 最新情報については JPCERT/CC の Web サイトをご参照ください JPCERT コーディネーションセンター (JPCERT/CC) https://www.jpcert.or.jp/tsubame/report/index.html 8

2026 © docsplayer.net プライバシー | 利用規約 | フィードバック