Comments
Transcript
インターネット定点観測(TALOT2) - IPA 独立行政法人 情報処理推進機構
別紙 3 インターネット定点観測(TALOT2)での観測状況について 1.一般のインターネット利用者の皆さんへ インターネット定点観測(TALOT2)によると、2008 年 10 月の期待しない(一方的な)アクセスの総数 は 10 観測点で 128,667 件、総発信元(※)は 34,926 箇所ありました。1 観測点で見ると、1 日あたり 113 の発信元から 415 件のアクセスがあったことになります。 総発信元(※):TALOT2 にアクセスしてきた発信元の総数。なお、同一発信元から同一観測日・観測点・ポートにアク セスがあった場合は 1 つの発信元としてカウント。 TALOT2 での1観測点の環境は、インターネットを利用される一般的な接続環境と同一なので、イ ンターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えられます。 1観測点での1日あたりの平均アクセス数と発信元数 700 600 601 520 478 500 400 300 449 400 平均アクセス数 平均発信元数 242 185 200 205 172 415 157 113 100 0 08年05月 08年06月 08年07月 08年08月 08年09月 08年10月 【図 1.1 1 観測点での 1 日あたりの期待しない(一方的な)アクセス数および発信元数】 2008 年 5 月∼2008 年 10 月までの各月の 1 観測点での 1 日あたりの平均アクセス数および、それ らのアクセスの平均発信元数を図 1.1 に示します。この図を見ると、10 月の期待しない(一方的な) アクセスは 9 月と比べて若干増加しました。過去 6 ヶ月を通してみると、これまでの減少傾向が一段 落した格好です。 -1- 2.10 月のアクセスの状況 2008 年 9 月と 10 月の宛先(ポート種類)別アクセス数の比較結果について図 2.1.1 に示します。 9 月よりアクセス数が増加したのは、Ping、445/tcp、139/tcp 及び 22/tcp へのアクセスでした。 また、アクセス数が減少したのは 1026/udp、1027/udp、及び 1028/udp へのアクセスでした。こ れらのアクセスは、Windows のメッセンジャサービス機能を利用して、悪意あるメッセージを送り つけるのに使われていると思われます。つまり、10 月はこれらの悪意あるメッセージの流通が総じ て減少していると思われます。 宛先(ポート種類)別アクセス数の比較( 9月/10月) 50000 4 2 8 7 14 2 3 6 5 40000 9月 10月 30000 20964 15369 20000 1434(UDP) 22(TCP) 139(TCP) 1028(UDP) 1433(TCP) 445(TCP) 1027(UDP) PING(ICMP) 135(TCP) 0 1026(UDP) 11139 8384 6753 8812 7163 6009 5743 3845 5707 3806 2515 4 1 2 2 3 1 82 2397 1768 240 10000 【図 2.1.1 1 観測点での 1 日あたりの期待しない(一方的な)アクセス数および発信元数】 2.1 135/tcp、139/tcp 及び 445/tcp へのアクセス 10 月 14 日から 22 日にかけて全体的にアクセス数が増加しました。このうち 135/tcp、139/tcp 及 び 445/tcp へのアクセスに関しては、10 月 15 日に発表されたマイクロソフトの脆弱性(ぜいじゃく せい)情報の中の、Windows の脆弱性を狙った攻撃が含まれていた可能性があります。 図 2.1.2 に 135/tcp、139/tcp 及び 445/tcp へのアクセス数の遷移を示します。 -2- 135/tcp、139/tcp及び445/tcpへのアクセス数の遷移 3000 2500 2000 1500 1000 500 10/01 10/02 10/03 10/04 10/05 10/06 10/07 10/08 10/09 10/10 10/11 10/12 10/13 10/14 10/15 10/16 10/17 10/18 10/19 10/20 10/21 10/22 10/23 10/24 10/25 10/26 10/27 10/28 10/29 10/30 10/31 0 135(TCP) 445(TCP) 139(TCP) 【図 2.1.2 135/tcp、139/tcp 及び 445/tcp へのアクセス数の遷移】 OS やアプリケーションの脆弱性を解消し、常に最新の状態で使うことは、セキュリティ対策の 基本です。 Windows には、更新情報を通知させる設定(自動更新機能)があります。この機能を利用してい る方は、更新情報が通知されたら、すぐに更新作業を行うように心掛けてください。 この機能を利用していない方は、以下のマイクロソフトのホームページを参考にして、利用する ようにしてください。 また、業務サーバなどのように停止が困難なサーバであっても、メンテナンスのための時間を確 保するなどして、確実に脆弱性を修正するようにしてください。 <参考情報> ■「自動更新機能で常に最新の Windows XP を使おう」(マイクロソフト社) http://www.microsoft.com/japan/windowsxp/security/au.mspx ■ Windows Vista の自動更新機能の解説(マイクロソフト社の Windows Vista まるわかりガイドの情報) http://www.microsoft.com/japan/windows/using/windowsvista/guide/security/update.mspx また、更新情報の通知が行われないアプリケーションなどについても、専用サイトなどで脆弱性 情報をこまめに確認し、更新作業が手遅れにならないように十分注意ください。 <参考情報> ■「Microsoft Update と Windows Update の利用の手順」(マイクロソフト社) http://www.microsoft.com/japan/athome/security/mrt/wu.mspx ■「JVN iPedia 脆弱性対策情報データベース」 http://jvndb.jvn.jp/ -3- 2.2 2008 年 10 月の一方的なアクセス状況 2008 年 10 月の一方的なアクセス状況(アクセス数)の遷移を図 2.2.1 に、一方的なアクセス状況 (発信元数)の遷移を図 2.1.2 に示します。 1日あたりのアクセス数の遷移 (10観測点) 8000 6000 4000 2000 10/01 10/02 10/03 10/04 10/05 10/06 10/07 10/08 10/09 10/10 10/11 10/12 10/13 10/14 10/15 10/16 10/17 10/18 10/19 10/20 10/21 10/22 10/23 10/24 10/25 10/26 10/27 10/28 10/29 10/30 10/31 0 135(TCP) 1027(UDP) Ping(ICMP) 22(TCP) 445(TCP) 2967(TCP) 1026(UDP) 1434(UDP) 139(TCP) その他 1433(TCP) 【図 2.2.1 2008 年 10 月の一方的なアクセス状況(アクセス数)】 1日あたりの発信元数の遷移 (10観測点) 3000 2500 2000 1500 1000 500 10/01 10/02 10/03 10/04 10/05 10/06 10/07 10/08 10/09 10/10 10/11 10/12 10/13 10/14 10/15 10/16 10/17 10/18 10/19 10/20 10/21 10/22 10/23 10/24 10/25 10/26 10/27 10/28 10/29 10/30 10/31 0 135(TCP) 1027(UDP) Ping(ICMP) 22(TCP) 445(TCP) 2967(TCP) 1026(UDP) 1434(UDP) 139(TCP) その他 【図 2.2.2 2008 年 10 月の一方的なアクセス状況(発信元数)】 -4- 1433(TCP) 2.3 2008 年 10 月の宛先(ポート種類)別の比率 2008 年 10 月の一方的なアクセスの宛先(ポート種類)別アクセス数の比率を図 2.3.1 に、宛先(ポー ト種類)別発信元数の比率を図 2.3.2 に示します。 宛先(ポート種類)別アクセス数の比率 19% 2% 2% 33% 3% 3% 4% 4% 135(TCP) 1027(UDP) 5% 16% 9% Ping(ICMP) 22(TCP) 445(TCP) 2967(TCP) 1026(UDP) 1434(UDP) 139(TCP) その他 1433(TCP) 【図 2.3.1 2008 年 10 月の宛先(ポート種類)別アクセス数の比率】 宛先(ポート種類)別発信元数の比率 26% 21% 2% 1% 4% 25% 3% 4% 4% 135(TCP) 1027(UDP) Ping(ICMP) 22(TCP) 3% 7% 445(TCP) 2967(TCP) 1026(UDP) 1434(UDP) 139(TCP) その他 【図 2.3.2 2008 年 10 月の宛先(ポート種類)別発信元数の比率】 -5- 1433(TCP) 2.4 2008 年 10 月の発信元地域別アクセス状況 2008 年 10 月の一方的なアクセスの発信元地域別アクセス数の変化を図 2.4.1 に、発信元地域別ア クセス数の比率を図 2.4.2 に示します。 1日あたりの発信元地域別アクセス数の遷移 (10観測点) 3500 3000 2500 2000 1500 1000 500 10/01 10/02 10/03 10/04 10/05 10/06 10/07 10/08 10/09 10/10 10/11 10/12 10/13 10/14 10/15 10/16 10/17 10/18 10/19 10/20 10/21 10/22 10/23 10/24 10/25 10/26 10/27 10/28 10/29 10/30 10/31 0 日本 香港 ドイツ 中華人民共和国 オーストラリア ブラジル アメリカ合衆国 台湾 その他 韓国 カナダ 【図 2.4.1 2008 年 10 月の発信元地域別アクセス数の変化】 発信元地域別アクセス数の比率 2% 2% 9% 3% 3% 37% 8% 33% 日本 香港 ドイツ 中華人民共和国 オーストラリア ブラジル アメリカ合衆国 台湾 その他 韓国 カナダ 【図 2.4.2 2008 年 10 月の発信元地域別アクセス数の比率】 -6- 2008 年 10 月の一方的なアクセスの発信元地域別発信元数の変化を図 2.4.3 に、発信元地域別発信 元数の比率を図 2.4.4 に示します。 1日あたりの発信元地域別発信元数の遷移 (10観測点) 350 300 250 200 150 100 50 10/01 10/02 10/03 10/04 10/05 10/06 10/07 10/08 10/09 10/10 10/11 10/12 10/13 10/14 10/15 10/16 10/17 10/18 10/19 10/20 10/21 10/22 10/23 10/24 10/25 10/26 10/27 10/28 10/29 10/30 10/31 0 日本 香港 ドイツ 中華人民共和国 オーストラリア ブラジル アメリカ合衆国 台湾 その他 韓国 カナダ 【図 2.4.3 2008 年 10 月の発信元地域別発信元数の変化】 発信元地域別発信元数の比率 1% 1% 25% 17% 2% 3% 2% 5% 26% 5% 日本 香港 ドイツ 13% 中華人民共和国 オーストラリア ブラジル アメリカ合衆国 台湾 その他 韓国 カナダ 【図 2.4.4 2008 年 10 月の発信元地域別発信元数の比率】 -7- 3.統計情報 3.1 2008 年 5 月∼2008 年 10 月の宛先(ポート種類)別の比率 2008 年 5 月∼2008 年 10 月の宛先(ポート種類)別アクセス数の比率を図 3.1.1 に、宛先(ポート種 類)別発信元数の比率を図 3.1.2 に示します。 宛先(ポート種類)別アクセス数の比率 100% その他 90% 1434(UDP) 80% 22(TCP) 70% 139(TCP) 60% 1028(UDP) 50% 1433(TCP) 40% 445(TCP) 30% 1027(UDP) 1026(UDP) 20% PING(ICMP) 10% 135(TCP) 0% 08年05月 08年06月 08年07月 08年08月 08年09月 08年10月 平均 【図 3.1.1 2008 年 5 月∼2008 年 10 月の宛先(ポート種類)別アクセス数の比率】 宛先(ポート種類)別発信元数の比率 100% その他 90% 1434(UDP) 80% 22(TCP) 70% 139(TCP) 60% 1028(UDP) 50% 1433(TCP) 40% 445(TCP) 30% 1027(UDP) 1026(UDP) 20% PING(ICMP) 10% 135(TCP) 0% 08年05月 08年06月 08年07月 08年08月 08年09月 08年10月 平均 【図 3.1.2 2008 年 5 月∼2008 年 10 月の宛先(ポート種類)別発信元数の比率】 -8- 3.2 2008 年 5 月∼2008 年 10 月の発信元地域別の比率 2008 年 5 月∼2008 年 10 月の発信元地域別アクセス数の比率を図 3.2.1 に、発信元地域別発信元 数の比率を図 3.2.2 に示します。 発信元地域別アクセス数の比率 100% その他 90% 不明 80% ドイツ 70% オーストラリア 60% 台湾 50% 香港 40% 韓国 30% アメリカ合衆国 カナダ 20% 中華人民共和国 10% 日本 0% 08年05月 08年06月 08年07月 08年08月 08年09月 08年10月 平均 【図 3.2.1 2008 年 5 月∼2008 年 10 月の発信元地域別アクセス数の比率】 発信元地域別発信元数の比率 100% その他 90% 不明 80% ドイツ 70% オーストラリア 60% 台湾 50% 香港 40% 韓国 30% アメリカ合衆国 カナダ 20% 中華人民共和国 10% 日本 0% 08年05月 08年06月 08年07月 08年08月 08年09月 08年10月 平均 【図 3.2.2 2008 年 5 月∼2008 年 10 月の発信元地域別発信元数の比率】 -9- 4.補足説明 以下に、2008 年 10 月にアクセス数の多かった宛先(ポート種類)の解説を行います。 ポート種類 解説 Ping(ICMP) 相手のコンピュータが動作中か調べる目的で使用されるが、不正アク セスの対象コンピュータを探す目的で、W32/Welchia などに利用され たことで有名 22(TCP) パスワードクラッキング攻撃によるシステムへの侵入を目的とした、 SSH(Secure Shell:通信路を暗号化することで安全性を高めたリモー トからのコマンド実行ツール)を狙ったアクセスです 135(TCP) Microsoft Windows Remote Procedure Call(RPC)のデフォルトポート であり、RPC に関する脆弱性(MS03-026)を狙った不正アクセスが有名 (W32/MSBlaster など) 139(TCP) 保護の甘いファイル(ネットワーク)共有を狙った不正アクセスが有名 ですが、一般的に Window の脆弱性を狙ったアクセスである可能性が 高いです 445(TCP) 保護の甘いファイル(ネットワーク)共有や Windows2000 特有の脆弱性 を狙った不正アクセスが有名(W32/Sasser など) 1026(UDP)/1027(UDP) /1028(UDP) Microsoft Windows Messenger service(MSN Messenger とは別物)を利 1433(TCP) Microsoft SQL Sever の既定ポートであり、SQL Server が動作中のコ ンピュータを探す目的や、SQL Server の脆弱性を狙った不正アクセス など 1434(UDP) Microsoft SQL Sever の 脆弱性 を狙った 不正アク セスなど が有 名 (W32/SQLSlammer など) 2967(TCP) Symantec Client Security や Symantec AntiVirus がデフォルトで使用す 用したポップアップ(スパム)メッセージの送信で有名 るポートで、今回のアクセスはこれらの製品の脆弱性を狙ったものと 考えられます ■お問い合わせ先 独立行政法人 情報処理推進機構 セキュリティセンター 大浦/望月/加賀谷 Tel:03-5978-7527 Fax:03-5978-7518 E-mail: -10-