2013 年 5 月 15 日（株）日立ソリューションズネットワークビジネス部「インターネット定点観測によるセキュリティ動向の分析」 2013年4月はじめに弊社インターネット定点観測の分析による、2013 年4 月のインターネット定点観測情報の概要を公開します。定点観測により、これまで観測した不正アクセスと考えられるアクセス数の推移及び、アクセスに使用された上位プロトコルや、アクセスの送信元IP アドレスに関する傾向の分析結果となります。また、2013 年 4 月に JPCERT/CC・JVN 等より提供された脆弱性関連情報の概要を合わせて公開します。管理下のシステムにおける脆弱性対策にお役立てください。１．セキュリティ動向 (1) 「インターネット定点観測情報」弊社によるインターネットの定点観測を使用したセキュリティ動向の分析情報を示します。インターネット接続環境におけるセキュリティ動向の参考例とし、セキュリティ情勢の 1 つの目安としてご使用頂ければ幸いです。「アクセス件数の推移」図 1-1 に、2012 年 11 月以降の 1 観測点※1 一日あたりの平均アクセス件数の推移を示します。折れ線は、短期集中型の通信を除外した推移です。 1観測点の一日あたりの平均件数（件） ① 500 400 300 200 100 0 11月 12月 1月 2月 3月 4月観測年月図 1-1 1 観測点の一日あたりの平均アクセス件数推移（2012 年 11 月～2013 年 4 月） 2013 年 4 月における平均アクセス件数は、約 469 件で先月比約 25%増となりました。集中した通信を除いた件数は約 212 件で、先月比約 2%増となりました。 Microsoft SQL Server で使用される tcp:1433 宛の通信が継続して増加しており、2 位の韓国は約 57%増で過去最多です。 IRC 宛の通信が特定の国で増加しています。1 月から新たに加わったオーストラリアは、先月比約 528%増で今月の通信量の約 19%を占め、ほぼ毎日観測されています。1 位の中国は 4 月 23 日(火)以降、高水準の通信が継続しています。 4 月の日別のアクセス件数を中国とその他の国々に分けて図 1-2 に示します。今月は中国の IP アドレスを送信元とする 2 件の集中した通信が観測され、どちらも 1 つのアドレスから 1 つのサーバ宛でした。最初は 4 月 17 日(水)夜の約 15 分間で、tcp:1603 宛に今月の総通信量の約 2.7%の通信を観測しています。本ポートは kyoceraNetDev が使用しています。次は 4 月 27 日(土)夜の約 8 分間で、udp:4061 宛に今月の総通信量の約 52%に相当する通信を受信しています。本ポートは、ZeroC 社のオブジェクト指向ミドルウェア Internet Communications Service の Ice Location Service (TCP)に割り当てられています。いずれも、当該サービスに関する脆弱性は確認しておらず、攻撃者の目的は不明です。 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 1 - 日 29 日 4月 27 日 4月 25 日 4月 23 日 4月 21 日 19 日 4月 17 日 4月 15 日 4月 13 日 4月 11 9日 4月 4月 7日 4月 5日 4月 3日 4月 1日 4月他の国々中国 4月 1観測点あたりのアクセス件数(件) 7,000 6,000 5,000 4,000 3,000 2,000 1,000 0 図 1-2 2013 年 4 月の日別アクセス件数 ② 「送信元 IP アドレス国および地域別傾向分析」 2013 年 4 月において観測されたアクセスの送信元となった IP アドレスの所有国および地域別※2 アクセス過去 6 ヶ月間の推移を図 1-3 に示します（2013 年 4 月における上位 10 送信元国の降順）。 350 1観測点の一日あたりの平均件数(件) 11月 12月 1月 2月 3月 4月 300 250 200 150 100 50 0 中国アメリカ韓国日本オーストラリアドイツ台湾ポーランドロシアフランス送信元IPアドレス所有国および地域図 1-3 送信元 IP アドレス所有国および地域別アクセスの月毎推移 2013 年 4 月観測アクセスの送信元 IP アドレス所有国および地域の割合を図 1-4 に示します。 0.9% 1.4% 1.4% 1.7% 1.9% 0.7% 0.7% 中国 8.7% アメリカ韓国日本オーストラリア 2.7% ドイツ 6.4% 台湾ポーランドロシア 73.6% フランスその他図 1-4 2013 年 4 月の送信元国および地域別分布 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 2 - その他中国を送信元国とする通信は、udp:4061 宛の集中した通信が約 71%を占めています。IRC や tcp:1433 宛の増加により、集中した通信を除くと、約 29%増の通信量となっています。 5 位のオーストラリアを送信元国とする通信は、IRC や RDP で使用される tcp:3389 宛の増加により、先月比約 77%増となっています。 8 位のポーランドを送信元国とする通信は、tcp:1234 宛が約 81%を占めています。Infoseek Search Agent で使用されるポートですが、トロイの木馬の待ち受けポートとしても実績があります。1 つのプロバイダの 6 つの IP アドレスから、単発の通信が間隔を空けて送信されています。前回は 1 月 31 日(水)から 2 月 28 日(木)まで毎日継続していました。3 月 27 日(水)に再開を確認し、4 月 16 日(火)まで続きました。「通信プロトコルの傾向分析」図 1-5 に、使用されたポート/通信プロトコル別の、1 観測点の一日あたりの平均アクセス件数の、過去 6 ヶ月間の推移を示します（図中の順位は、2013 年 4 月における上位 10 ポート/通信プロトコルの降順となります）。 11月 12月 1月 2月 3月 06 :33 p c t net tel 4月 250 1観測点の一日あたりの平均件数(件) ③ 200 150 100 50 0 61 :40 p d u h) 33 (ss :14 p 2 c t :2 tcp icm p 89 :33 p c t 03 :16 p c t IRC 34 :12 p c t 他そのポート/通信プロトコル図 1-5 使用ポート/通信プロトコル別、一日あたりの平均アクセス件数推移（2012 年 11 月～2013 年 4 月） 1 位の udp:5350 は Ice Location Service で使用されるポートで、4 月 27 日(土)夜の約 8 分間に中国を送信元国とする 1 つの IP アドレスから受信しています。標的とするサービスは不明です。 6 位の tcp:1603 も、標的不明の 1 つの IP アドレスからの集中した通信でランクインしています。4 月 17 日(水)夜の約 15 分間に中国から受信しています。tcp:1603 は、kyoceraNetDev に割り当てられています。 7 位の IRC は、中国およびアメリカに加えて、オーストラリアからの通信が継続的に観測されるようになりました。また、中国を送信元国とする通信は、4 月 24 日(水)以降、高水準の通信が継続して観測されています。 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 3 - 2013 年 4 月に観測したポート/プロトコルの割合を図 1-6 に示します。 udp:4061 19.7% tcp:1433 1.4% 1.5% 2.0% tcp:22 (ssh) 2.3% tcp:1603 icmp tcp:3389 51.8% 2.7% IRC tcp:3306 3.1% telnet 3.8% 4.0% tcp:1234 7.6% その他図 1-6 2013 年 4 月観測アクセスに使用されたポート/プロトコル割合 2013 年 4 月に観測したポート/プロトコルの上位 5 位のアクセス傾向の詳細を、送信元となった IP アドレスの所有国および地域の割合と共にそれぞれ日毎推移にて示します（図 1-7～図 1-11）。 a) ポート番号 udp:4061 中国 6,000 4,000 2,000 日日月 29 04 日月 27 04 月 25 04 日月 23 日 04 月 21 04 日日月 19 04 月 17 04 日日月 15 04 日月 13 04 日月 11 04 日月 09 04 月 07 04 日日月 05 04 月 03 04 04 日 0 月 01 1観測点あたりのアクセス件数(件) 8,000 観測月日図 1-7 ポート番号 udp:4061 2013 年 4 月の日毎推移 udp:4061 は、ZeroC 社のオブジェクト指向ミドルウェア Internet Communications Service の Ice Location Service (TCP) に割り当てられています。当該サービスに関する脆弱性や、本ポートを使用するマルウェアは確認できておらず、直近 2 年間では、udp:4061 を標的とした攻撃は皆無でした。 4 月 27 日(土)に中国の 1 つの IP アドレスから単一アドレス宛に、約 8 分間で今月の総通信量の約 52%に相当する集中した通信が観測されました。攻撃者の目的は不明です。 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 4 - b) ポート番号 tcp:1433 韓国アメリカオーストラリア香港ベトナムその他 40 30 20 10 日 04 月 29 日日 04 月 27 04 月 25 日 04 月 23 日日 04 月 21 04 月 19 日日 04 月 17 日 04 月 15 04 月 13 日日 04 月 11 04 月 09 日 04 月 07 日 04 月 05 04 月 03 04 月 01 日 0 日 1観測点あたりのアクセス件数(件) 中国 50 観測月日図 1-8 ポート番号 tcp:1433 2013 年 4 月の日毎推移 tcp:1433 は Microsoft SQL Server で使用されるポートです。SQL Server に対する不正ログイン、もしくは SQL Server に存在する脆弱性を狙った攻撃の可能性があります。通信量は先月比約 37%増です。総通信量の約 80%を占める、中国を送信元国とする通信が約 49%増と反転したのが主因です。韓国を送信元国とする通信も約 57%増と、過去最多を更新しています。 c) ポート番号 tcp:22 (ssh) 中国アメリカ韓国インドマレーシアブラジルその他 20 10 月 29 日 04 月 27 日 04 月 25 日 04 月 23 日 04 月 21 日 04 月 19 日 04 月 17 日 04 月 15 日 04 月 13 日 04 月 11 日 04 月 09 日 04 月 07 日 04 月 05 日 04 月 03 日 04 月 01 日 0 04 1観測点あたりのアクセス件数(件) 30 観測月日図 1-9 ポート番号 tcp:22 2013 年 4 月の日毎推移 ssh(Secure Shell)は、telnet や rlogin を置き換える目的で設計されたプロトコルで、暗号化された通信によりセキュアなログインおよびシステムの運用に使用されるプロトコルです。ユーザ名・パスワードが漏洩または推測された場合、攻撃者にとってメリットが極めて大きいため、開放ポートスキャンが頻繁に行われます。またユーザ名・パスワードを推測するブルートフォース攻撃が多く観測される傾向があります。通信量は先月比約 11%減で、全体的に減少傾向です。1 位の中国は約 11%減となり、全体の約 51%を占めています。アメリカを送信元国とする通信は、先月減少した反動で約 54%増となりましたが、先々月の通信量には届いていません。送信元アドレスが通信毎に異なる傾向は、継続しています。 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 5 - d) プロトコル: icmp 30 中国日本ブラジル韓国ロシアその他 25 20 15 10 5 月 29 日 04 月 27 日 04 月 25 日 04 月 23 日 04 月 21 日 04 月 19 日 04 月 17 日 04 月 15 日 04 月 13 日 04 月 11 日 04 月 09 日 04 月 07 日 04 月 05 日 04 04 04 月 03 日 0 月 01 日 1観測点あたりのアクセス件数(件) アメリカ観測月日図 1-10 プロトコル: icmp 2013 年 4 月の日毎推移 ICMP はネットワークの疎通確認や、死活監視等に使用されます。ICMP 通信を許可している場合は、ICMP Flood 攻撃等の被害を受ける可能性があります。通信量は先月比約 19%減で、1 位のアメリカが約 23%を占めています。 e) ポート番号 tcp:3389 25 アメリカオーストラリア韓国ロシアブラジルその他 20 15 10 5 月 29 日 04 月 27 日 04 月 25 日 04 月 23 日 04 月 21 日 04 月 19 日 04 月 17 日 04 月 15 日 04 月 13 日 04 月 11 日 04 月 09 日 04 月 07 日 04 月 05 日 04 04 04 月 03 日 0 月 01 日 1観測点あたりのアクセス件数(件) 中国観測月日図 1-11 ポート番号 tcp:3389 2013 年 4 月の日毎推移 tcp:3389 は RDP(Remote Desktop Prococol)で、Microsoft ターミナルサービスが稼動するシステムに、遠隔コンピュータから接続する際に使用されるプロトコルです。通信量は先月比約 6%増です。オーストラリアを送信元国とする通信が、約 72%増で過去最多となりました。 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 6 - ※1 1 観測点の一日あたりの平均アクセス件数：観測点毎のポリシーを考慮し、1 観測点あたりの値に換算した数値 ※2 所有国の判別：各地域インターネットレジストリ（RIR）の IP 所有国情報、2010 年 12 月 14 日(火)の登録データを使用 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 7 - (2) 「脆弱性ならびにセキュリティ情報」 JPCERT/CC※1・JVN※2 等で提供される脆弱性ならびにセキュリティ情報を表 1.1 に示します。管理下のシステムにおける脆弱性対策にお役立て下さい。製品区分別に、情報システムの脆弱性に対するオープンで汎用的な評価手法である CVSS※3 の基本評価基準も併せて示します。表 1.1 脆弱性ならびにセキュリティ情報 9.3 10.0 10.0 9.4 7.5 4.3 4.3 4.3 対策 ○ ○ ○ × ○ ○ ○ ○ 9 4.0 ○ 10 10.0 ○ 11 12 13 14 7.9 7.5 6.6 6.4 × ○ ○ ○ 5.8 ○ 16 17 4.4 3.8 ○ ○ 18 2.6 ○ 19 20 7.8 7.8 ○ ○ 5.4 ○ No. 製品区分 1 OS 2 3 4 5 6 7 8 15 Web ブラウザおよびプラグイン製品 CVSS アプリケーションハードウェア 21 22 23 24 25 26 その他 - - 情報題目管理番号公開日 Microsoft 製品の複数の脆弱性に対するアップデート Adobe の複数の製品に脆弱性 Oracle Java に複数の脆弱性 Microsoft Internet Explorer 8 に脆弱性 Apple Safari に複数の脆弱性 Android 版 jigbrowser+ にアドレスバー偽装の脆弱性 Sleipnir for Windows にアドレスバー偽装の脆弱性 Yahoo!ブラウザーにアドレスバー偽装の脆弱性 Sleipnir Mobile for Android において任意のエクステンション API が呼び出される脆弱性 IBM の Tivoli System Automation Application Manager に複数の脆弱性 McAfee ePolicy Orchestrator に複数の脆弱性 HP Service Manager に複数の脆弱性 Cisco の AnyConnect Secure Mobility Client に脆弱性 ActiveMQ に複数の脆弱性 IBM Notes のメールクライアントに Java および Javascript が実行される脆弱性 Plesk Panel に権限昇格の脆弱性 avast! Mobile Security に脆弱性複数のサイボウズ製品にクロスサイトリクエストフォージェリの脆弱性 Cisco ASA に脆弱性複数の HP プリンタに脆弱性 Citrix の NetScaler Access Gateway Enterprise Edition に脆弱性「CSIRT フォーラム 2013」開催のお知らせ 25th FIRST Annual Conference、バンコクで開催 JNSA、「スマートフォン利用ガイドライン」を公開 Microsoft EMET v4.0 Beta テスト中マイクロソフトセキュリティインテリジェンスレポート第 14 版 JVNTA13-100A 2013-04-17【2】 JVNTA13-107A JVNVU#97576465 2013-04-24【2】 JVN#01313594 JVN#65034198 JVN#55074201 4 月 10 日 4月9日 4 月 16 日 5月3日 4 月 16 日 4 月 26 日 4 月 11 日 4 月 26 日 JVN#02895867 4 月 12 日 2013-04-17【4】 4 月 10 日 JVNVU#94853684 2013-05-09【3】 2013-04-24【3】 2013-05-02【2】 4 月 25 日 4 月 29 日 4 月 12 日 4 月 22 日 JVNVU#98097798 4 月 30 日 JVNVU#94324985 JVNVU#96781186 4 月 10 日 4 月 19 日 JVN#06251813 4 月 15 日 2013-04-24【4】 2013-05-09【4】 4 月 10 日 4 月 25 日 JVNVU#95943552 4 月 25 日 2013-05-02【5】 2013-05-02【メモ】 2013-04-17【メモ】 2013-05-09【メモ】 2013-04-24【メモ】 - 情報は、先月公開された JPCERT/CC レポート※4、JVN 等を基にしておりますが、公開日は、JPCERT/CC、JVN が参照している原典等を参照し、最初に世界レベルで一般公開された日、もしくは、定期的な OS のアップデートの場合は対策が公開された日付を記載しております。赤く色付けされている情報は、JVN にて緊急※5 と表示されている情報となります。 CVSS は、JVN に公開されている値を優先して記載しております。JVN に公開されていないものについては、NVD※6 の値を記載しております。また、複数の CVSS があるものについては、一番高いものを記載しております。いずれにも CVSS が記載されていない場合は、「－」としております。対策欄に「×」が記載されている情報は、本資料作成日の 2013 年 5 月 13 日(月)現在、対策が存在しない(危険度がより高い)ことを示しております。管理番号は、J から始まる形式のものは JVN が発番した番号、YYYY-MM-DD【X】の形式のものは、JPCERT/CC レポートの発行年月日とレポート内の項番からなります。また、製品区分は、表 1.2 の定義に基づき、弊社独自の判断で区分しております。 All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 8 - 表 1.2 製品区分製品区分定義 OS Web ブラウザおよびプラグイン製品アプリケーションハードウェアその他 OS および OS と合わせて提供される製品 Microsoft Internet Explorer を除く、Web ブラウザおよび Web ブラウザのプラグインとして動作する製品付加価値を提供すべく開発されているソフトウェアハードウェアに組み込まれて提供される製品プロトコルや設計仕様など上記に該当しないもの、またはアナウンス ※1 JPCERT/CC 「Japan Computer Emergency Response Team / Coordination Center 」我が国を代表するインシデント対応組織 (CSIRT: Computer Security Incident Response Team)として、国内外から届くインシデント報告の対応を中心とした情報セキュリティ対策活動のコーディネーションを行っている。 http://www.jpcert.or.jp/ ※2 JVN 「Japan Vulnerability Notes」日本で使用されているソフトウェアなどの脆弱性関連情報とその対策情報を提供し、情報セキュリティ対策に資することを目的とする脆弱性対策情報ポータルサイト http://jvn.jp/report/index.html ※3 共通脆弱性評価システム CVSS（Common Vulnerability Scoring System）情報システムの脆弱性に対するオープンで汎用的な評価手法。 0 から 10 までの数値で表され、数値が高いほど脆弱であることを示す。 FIRST（Forum of Incident Response and Security Team） http://www.first.org/ にて取りまとめている。日本語での説明は下記を参照。 http://www.ipa.go.jp/security/vuln/SeverityCVSS2.html ※4 JPCERT/CC レポート JPCERT/CC が得たセキュリティ関連情報のうち、JPCERT/CC が重要と判断したものを抜粋してまとめたもの。 http://www.jpcert.or.jp/wr/ ※5 JVN 緊急の定義脆弱性レポートの読み方 http://jvn.jp/nav/jvnhelp.html ※6 NVD 「National Vulnerability Database」米国国立標準技術研究所が運営する脆弱性データベース。 http://nvd.nist.gov/nvd.cfm All Rights Reserved,Copyright©2004-2013,Hitachi Solutions, Ltd. - 9 -