■ある国内ISPネットワークにおける攻撃ホストの増加を観測
9月までの観測結果から新たな事実が確認されましたので、トピックとして報告いたします。8月以降、ある国内AS番号 (※1)において攻撃元ホスト数が急増していることが、分析によって明らかになりました。
9月までの観測結果から新たな事実が確認されましたので、トピックとして報告いたします。8月以降、ある国内AS番号 (※1)において攻撃元ホスト数が急増していることが、分析によって明らかになりました。
<図1:国内ASにおける攻撃ホスト指数の比較>
図1では、攻撃ホスト数の増加傾向を示すために、国内の3つのAS(仮称/AS1、AS2、AS3)の比較をしています。ASのネットワーク規模の違いによって割り当てられているIPアドレス総数(※2)が異なるため、観測された攻撃ホスト数を各ASのIPアドレス総数で割った値をベースに指数化しています。
7月における攻撃ホスト数は、いずれのASも攻撃ホスト指数が4.0~7.3となっておりあまり大きな変化は見られません。しかし、8月に入るとAS2の攻撃ホスト指数が約10倍へ急増し、9月も高い数値で継続しています。このことからAS2において8月以降、ウイルス感染機器が急激に増加、もしくは既に感染していた機器が攻撃者のコントロールによって活動を開始したものと推測されます。
攻撃ホストの応答には攻撃元の機器を特定できる情報が含まれないため、現在のところ明確な原因は不明です。継続して観測を続けると共に、攻撃が増加する場合には所定の機関へ情報提供を行う予定です。
※1 AS(Autonomous System/オートノーマスシステム)とは、ひとつの経路制御ポリシーによって制御されるネットワークで、インターネットサービスプロバイダー(ISP)などの通信事業者や特定の組織が運用するネットワークのことです。AS番号は世界各国のNICなどがAS毎に発行している固有の識別番号です。
※2 AS1、AS2、AS3のIPアドレス総数は、IPアドレス調査サービスのipinfo(https://ipinfo.io/)にてAS番号を用いて取得した数値です。
<2017年9月度 検知状況>
【1】 アクセスホスト数・攻撃ホスト数
下記は2017年8月~9月の日次のアクセスホスト数、攻撃ホスト数の推移です。
図1では、攻撃ホスト数の増加傾向を示すために、国内の3つのAS(仮称/AS1、AS2、AS3)の比較をしています。ASのネットワーク規模の違いによって割り当てられているIPアドレス総数(※2)が異なるため、観測された攻撃ホスト数を各ASのIPアドレス総数で割った値をベースに指数化しています。
7月における攻撃ホスト数は、いずれのASも攻撃ホスト指数が4.0~7.3となっておりあまり大きな変化は見られません。しかし、8月に入るとAS2の攻撃ホスト指数が約10倍へ急増し、9月も高い数値で継続しています。このことからAS2において8月以降、ウイルス感染機器が急激に増加、もしくは既に感染していた機器が攻撃者のコントロールによって活動を開始したものと推測されます。
攻撃ホストの応答には攻撃元の機器を特定できる情報が含まれないため、現在のところ明確な原因は不明です。継続して観測を続けると共に、攻撃が増加する場合には所定の機関へ情報提供を行う予定です。
※1 AS(Autonomous System/オートノーマスシステム)とは、ひとつの経路制御ポリシーによって制御されるネットワークで、インターネットサービスプロバイダー(ISP)などの通信事業者や特定の組織が運用するネットワークのことです。AS番号は世界各国のNICなどがAS毎に発行している固有の識別番号です。
※2 AS1、AS2、AS3のIPアドレス総数は、IPアドレス調査サービスのipinfo(https://ipinfo.io/)にてAS番号を用いて取得した数値です。
<2017年9月度 検知状況>
【1】 アクセスホスト数・攻撃ホスト数
下記は2017年8月~9月の日次のアクセスホスト数、攻撃ホスト数の推移です。
<図2:アクセスホスト・攻撃ホスト数推移>
(※8月26-27日は研究棟メンテナンスに伴う停電によりデータ取得無し)
図2に示す通り、9月期もIoT機器への攻撃が継続的に行われています。当観測システムでは、9月の1日当たり2.6万IPアドレスからのアクセス(アクセスホスト数)、1.8万IPアドレスからの不正な侵入(攻撃ホスト数)を観測しています。
8月と比較して、9月のユニークなIPアドレスからの平均アクセス数が約12%減少,ユニークなIPアドレスからの攻撃ホスト数が約20%減少しています。 これはメキシコと中国からのアクセスホスト数と攻撃ホスト数が減少していることが原因です。
【2】 国別攻撃ホスト数
攻撃ホスト数を国別に分類したもので、9月は198カ国からの攻撃を観測し、総攻撃ホスト数(ユニークな攻撃ホスト数)は299,597件でした。
(※8月26-27日は研究棟メンテナンスに伴う停電によりデータ取得無し)
図2に示す通り、9月期もIoT機器への攻撃が継続的に行われています。当観測システムでは、9月の1日当たり2.6万IPアドレスからのアクセス(アクセスホスト数)、1.8万IPアドレスからの不正な侵入(攻撃ホスト数)を観測しています。
8月と比較して、9月のユニークなIPアドレスからの平均アクセス数が約12%減少,ユニークなIPアドレスからの攻撃ホスト数が約20%減少しています。 これはメキシコと中国からのアクセスホスト数と攻撃ホスト数が減少していることが原因です。
【2】 国別攻撃ホスト数
攻撃ホスト数を国別に分類したもので、9月は198カ国からの攻撃を観測し、総攻撃ホスト数(ユニークな攻撃ホスト数)は299,597件でした。
<図3:攻撃ホスト数国別順位>
攻撃ホスト数の上位国(20位まで)は図3のようになっています。ブラジルが最も多く全体の1/4を占め、中国、メキシコ、インド、ロシア、トルコ、アメリカ、イラン、アルゼンチン、イタリアと続いています。8月に急増していたメキシコの数値は半分以下に減少しましたが、依然高い数値を示したままです。攻撃元の多くはIoTマルウェアに感染した脆弱なIoT機器であり、これらの国ではIoTマルウェアに感染した機器が多く存在すると考えられます。
※注:上記は単純な攻撃ホスト数のカウントであり正規化を行っていないため、人口やインターネット利用者数が多い国が上位に来ている点に注意が必要です。
【1】ウイルス検知状況
検知されたウイルスをウイルス検査サービスVirusTotalにて複数のアンチウイルスエンジンで検査した結果です。
攻撃ホスト数の上位国(20位まで)は図3のようになっています。ブラジルが最も多く全体の1/4を占め、中国、メキシコ、インド、ロシア、トルコ、アメリカ、イラン、アルゼンチン、イタリアと続いています。8月に急増していたメキシコの数値は半分以下に減少しましたが、依然高い数値を示したままです。攻撃元の多くはIoTマルウェアに感染した脆弱なIoT機器であり、これらの国ではIoTマルウェアに感染した機器が多く存在すると考えられます。
※注:上記は単純な攻撃ホスト数のカウントであり正規化を行っていないため、人口やインターネット利用者数が多い国が上位に来ている点に注意が必要です。
【1】ウイルス検知状況
検知されたウイルスをウイルス検査サービスVirusTotalにて複数のアンチウイルスエンジンで検査した結果です。
<図4:ウイルス検知数>
図4は、当観測システムで収集したIoTウイルス検体を、VirusTotalにて4社のアンチウイルスエンジンにかけて検査をした結果です。各社のエンジンによって検知数、検知名称、分類などが異なりますが、それぞれLinux.Lightaidra(A社)、Backdoor.Linux.Gafgyt(B社)、 BASHLITE(C社)、 RDN/Generic BackFoor (D社)の検知数が非常に多くなっています。
※注:上記は検体ハッシュ値をVirusTotalに投稿した結果で、過去にVirusTotalに投稿された検体のみの結果が示されます。当観測システムで収集可能なウイルスの傾向には偏りがあるため、この結果がそのままIoTウイルスの流行の全体傾向を示しているものではありません。
以上
横浜国立大学・BBSS
IoTサイバーセキュリティ 共同研究プロジェクトホームページ
URL: https://www.bbss.co.jp/business/service/iot_lab.html
<横浜国立大学 情報・物理セキュリティ研究拠点について>
横浜国立大学の「情報・物理セキュリティ研究拠点」は、情報・物理セキュリティ分野における未解決問題の特定と解決を目指し学術面で貢献するとともに、社会への実展開を志向する、研究実践グループです。また、研究成果を活かしたセキュリティ解析力強化の取組みなど教育面にも力を入れています。 松本 勉 教授(拠点長)、四方順司 教授、吉岡克成 准教授をコアメンバとし、関連研究者と大学院および学部学生等から成り立っています。
<BBソフトサービス株式会社について>
ソフトバンクグループにおいて、セキュリティ製品を主軸とするソフトウェアサービスを、ISPや携帯電話会社などの通信事業者を通じて提供し、現在のソフトウェアサービスの利用数は1,300万ライセンスを超えています。サービス提供のみならず、情報セキュリティに関する啓発活動にも積極的に取り組んでおり、一般消費者のサイバー犯罪被害を減らし、よりよいインターネット利用環境全てのユーザーに提供することで社会貢献を果たしてまいります。
<組織概要>
名称: 横浜国立大学 情報・物理セキュリティ研究拠点
所在地: 神奈川県横浜市保土ヶ谷区常盤台79-7
拠点長: 松本 勉 教授
URL: http://ipsr.ynu.ac.jp/
<会社概要>
社名: BBソフトサービス株式会社
所在地: 東京都中央区銀座6-18-2 野村不動産銀座ビル14階
社長: 取締役社長 兼 COO 原山 健一
設立日: 2006年1月17日
株主: ソフトバンクコマース&サービス株式会社 100%
事業内容: ブロードバンドを利用したコンシューマー・SOHO用アプリケーションサービス、およびオリジナルアプリケーションサービスの企画・開発・販売・運営
URL: https://bbss.co.jp/
図4は、当観測システムで収集したIoTウイルス検体を、VirusTotalにて4社のアンチウイルスエンジンにかけて検査をした結果です。各社のエンジンによって検知数、検知名称、分類などが異なりますが、それぞれLinux.Lightaidra(A社)、Backdoor.Linux.Gafgyt(B社)、 BASHLITE(C社)、 RDN/Generic BackFoor (D社)の検知数が非常に多くなっています。
※注:上記は検体ハッシュ値をVirusTotalに投稿した結果で、過去にVirusTotalに投稿された検体のみの結果が示されます。当観測システムで収集可能なウイルスの傾向には偏りがあるため、この結果がそのままIoTウイルスの流行の全体傾向を示しているものではありません。
以上
横浜国立大学・BBSS
IoTサイバーセキュリティ 共同研究プロジェクトホームページ
URL: https://www.bbss.co.jp/business/service/iot_lab.html
<横浜国立大学 情報・物理セキュリティ研究拠点について>
横浜国立大学の「情報・物理セキュリティ研究拠点」は、情報・物理セキュリティ分野における未解決問題の特定と解決を目指し学術面で貢献するとともに、社会への実展開を志向する、研究実践グループです。また、研究成果を活かしたセキュリティ解析力強化の取組みなど教育面にも力を入れています。 松本 勉 教授(拠点長)、四方順司 教授、吉岡克成 准教授をコアメンバとし、関連研究者と大学院および学部学生等から成り立っています。
<BBソフトサービス株式会社について>
ソフトバンクグループにおいて、セキュリティ製品を主軸とするソフトウェアサービスを、ISPや携帯電話会社などの通信事業者を通じて提供し、現在のソフトウェアサービスの利用数は1,300万ライセンスを超えています。サービス提供のみならず、情報セキュリティに関する啓発活動にも積極的に取り組んでおり、一般消費者のサイバー犯罪被害を減らし、よりよいインターネット利用環境全てのユーザーに提供することで社会貢献を果たしてまいります。
<組織概要>
名称: 横浜国立大学 情報・物理セキュリティ研究拠点
所在地: 神奈川県横浜市保土ヶ谷区常盤台79-7
拠点長: 松本 勉 教授
URL: http://ipsr.ynu.ac.jp/
<会社概要>
社名: BBソフトサービス株式会社
所在地: 東京都中央区銀座6-18-2 野村不動産銀座ビル14階
社長: 取締役社長 兼 COO 原山 健一
設立日: 2006年1月17日
株主: ソフトバンクコマース&サービス株式会社 100%
事業内容: ブロードバンドを利用したコンシューマー・SOHO用アプリケーションサービス、およびオリジナルアプリケーションサービスの企画・開発・販売・運営
URL: https://bbss.co.jp/