ＣＳ四方山話（第19話）定期観測！　SYNCHRO の global IPv4 address への攻撃調査レポート

今回で、第19話になります。正直、こんなに長く続けると思ってはいませんでした。振り返ってみると、よくそんなにネタがあったものだと思います。

さて、第19話として何を書こうかと考えておりました。同じネタの繰り返しや焼き直しはダメだよという自戒を纏うと「う〜ん、良い事、思い付かん……」ということで逡巡しましたが、捻り出した案としては、次の３つでした。

1) 毎年行っている SYNCHRO の global IPv4 address への攻撃調査に関してご報告しよう
2) 「個人認証」について書いてみよう
3) 「ＣＳ白狐村塾」で書かせて頂いた「暗号」の話を「ＣＳ四方山話」的に表現してみよう

なんだ、ネタはいろいろあるじゃない、ということで、2)、3) は次回以降の予告ということで、今回は 1) を取り上げさせて頂きます。

SYNCHRO での観測

第２話でもご紹介させて頂きましたが、SYNCHRO では保有している複数の global IPv4 address への攻撃を観測しています。

観測自体は 24時間-365日 常に行っていますが、集計して社内や外部に提示するのは毎年８月のお盆時期にしています。これ以外にも故あって集計することもありますが、集計は完全自動という形にはできていないため、筆者の作業余力が大きいお盆時期には必ず実施することにしています（まあ、定点観測のような感じですね）。

何故お盆か？ というと、この時期は、外部からのメールなどでのコンタクトが顕著に少なくなるので、筆者が（精神的にも？）余裕があるという極めて局所的な理由に依ります。

調査方法の概要は以下の通りです。

・SYNCHRO社で利用しているglobal IPv4 アドレスを対象にしています。
・DNS登録されておらず、一般へ利用を公開していないが、インターネットからのアクセスが可能なIPv4アドレスが対象です
・2019年から観測を開始しています
・運用の都合上、対象とするIPv4アドレスの数は若干変わりますが、７〜９のアドレスを対象にしています
・SYNCHROの業務や調査でのアクセスは対象外としています（攻撃とはみなしません）

2022年は、日本時間8月14日の0:00から翌8月15日の0:00までの24時間、7つの global IPv4 に関しての調査を実施しました。

ポート別

攻撃の対象となっているポート別に集計し結果を円グラフ化してみました。

全体の1/3は、特定のポートに集中しており、目的を持って攻撃していることが見て取れます。

　・telnet、SSH はログインを行うため通信です。侵入口を探っているということになります。
　・redis は、データベースで使うポートで、データ窃取を狙っているということでしょう。
　・HTTP、HTTPSは、Webアクセス。皆さんも日々利用されているブラウザでのアクセスの通信です。
　・ADB は、Android Debug Bridge の略で、Android OS への侵入を試みているということでしょう。
　・SMB はファイル共有、これもデータ窃取が目的でしょう。
　・SIP はIP電話などVoIPで良く使われるプロトコル、RDP は Remote Desktop、Doctor は仮想化の仕組み。いずれも、何らかの乗っ取りが目的だと思います。

NICTER (Network Incident analysis Center for Tactical Emergency Response) の2021年の観測レポートも引用しておきます。 NICTERは、国立研究開発法人情報通信研究機構（NICT）のプロジェクトで、2005年からダークネット (*1) によるパケットの観測を行っています。

今回のSYNCHROの調査とほぼ同じ傾向だと言えます。

アクセス元

攻撃と判断されるアクセスの元のアドレスを円グラフ化してみました。

国別に集計したわけではなく、今回はアクセス数の上位20のアクセス元の国を記載しています。ちなみに、上位20で総アクセス数の約30%を占めています。

国名は、2文字で表現されています。2文字の国別コードは、ISO 3166-1 alpha-2 で（日本では JIS X 0304 として）標準化されています。このコードは、インターネットの世界では「国別コードトップレベルドメイン」として使われています（豆知識ｗ）。

上記のグラフに登場するコードは、下記の通りです。

• EU：欧州連合（及び、その加盟国）
• BG：ブルガリア共和国
• HR：クロアチア共和国
• GY：ガイアナ協同共和国
• NL：オランダ王国
• CH：中国
• US：アメリカ合衆国
• DE：ドイツ連邦共和国
• BG：ブルガリア共和国

オランダは上位の常連さんですが、以前に比べると昨年辺りからEUドメインが増えている気がします（統計的な検証はしていませんが）。

えっそんな国から？ という印象があるかも知れませんが、あくまでもトップドメインでの識別で、実際にどの国のヒトが仕掛けているのかは分かりません。プロキシ（踏み台）を使って迂回している場合も多いですし。

攻撃元のIPアドレスは特定できるので、こちらからも攻撃（反撃）することも理論的には可能です。アニメ攻殻機動隊のように「攻勢防壁」(*2) のように。しかし、いまのところ、サイバー攻撃に対しての正当防衛は法的には認められていないので、反撃することは（少なくとも日本では）違法ということになります。

合法違法の判断は、国家間になると一般社会とは異なります。サイバー攻撃も軍事的な手段として活用されていますし、戦争になれば殺人もOKという事になる訳ですから。

トレンド

2011年から2022年の 1つのIPアドレス当たりの年間の被攻撃回数をグラフ化しました。

青い線がNICTERの数値、赤い線がSYNCHROでの独自調査結果です。概数と傾向は類似していると言えるでしょう。

2020年で上げ止まっている感じですが、1IPアドレス当たり、年間では180万件程度の攻撃があるということになります。

筆者の自宅での2021年の観測でも、年換算で170万件の攻撃を観測しているので、オフィスだけではなく、皆さんの自宅のルータにも同様の攻撃があると考えて良いでしょう。

まとめ

今回は、SYNCHROの8月14日の調査の結果を中心に、サイバー攻撃の実態に関してご説明しました。

攻撃者は、IPアドレスは無作為に（あるいは網羅的に）、しかし攻撃に有効なポートを狙って、侵入、乗っ取りやデータ窃取を目的として、せっせとアクセスを行っています（実際には、ヒトがせっせと働いているのではなく、攻撃者が仕掛けたシステムがせっせと働いている訳ですが）。

あなたの会社や、あなたの家庭も、こうして攻撃が飛び交う世界に繋がっている訳です。

企業用のルータも、家庭用のルータも、標準的な設定では、こうした攻撃には耐えるはずですので、必要以上に心配することはありません。しかし、ルータの脆弱性が顕在化したり、不用意な設定を行うと攻撃が成功してしまいます。ご使用の機器のアップデートや設定には留意しましょう。

ということで、今回は、ここまでです。

次回（第20回！！）は、冒頭の予告通り、「個人認証」の話をしようと思います。

---

【四方山話】

• 余談

9月になったので、牡蠣の季節です。牡蠣は「Ｒが付く月に食べましょう」とされています。英語表記で「R」が付く月を確認すると、1,2,3,4,9,10,11,12月です。つまり9月〜4月が牡蠣の季節ということになります。

　 ということで、牡蠣フライを買ってきました（執筆日は9月3日です）。（筆者評価で）最も美味しい牡蠣フライを作ってくださるのは「まい泉」さん（https://mai-sen.com/）です。9月1日から、牡蠣フライを販売してくださいます。幸い、東京の自宅の近所にあるので、これからの季節、またちょくちょく買いに行くことになります。

---

脚注

(*1) ダークネット

ダークネットとは、インターネットからアクセスできるが、企業や組織などにそのアドレスが割り当てられていない（＝未使用）のIPアドレス空間のことです。

(*2) 攻勢防壁

攻殻機動隊の世界では、多くのヒトが「電脳化」と呼ばれる脳を直接デバイスに接続する改変（手術？）を行っています。いろいろと便利だと思いますが、サイバー攻撃を受けると、直接身体へのダメージになるので、守る手段も発達しています。守る手段が「防壁」です。

「攻勢防壁」は「防壁」の一種で、不正アクセス元への攻撃手段を有する防壁です。 「防壁」の他の種類として「身代わり防壁」というモノもあります。電脳が攻撃を受けた場合に、本体の電脳ではなく「身代わり防壁」が攻撃を引き受ける（場合によっては、身代わりに破壊される」ことで本体の電脳を守ります。一種のデコイですね。

---

ＣＳ四方山話の過去の記事はこちら（合わせてお読みください）

---

サイバーセキュリティ四方山話の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。