インターネット定点観測(TALOT2) - IPA 独立行政法人情報処理推進機構

別紙 3
インターネット定点観測(TALOT2)での観測状況について
1．一般のインターネット利用者の皆さんへ
インターネット定点観測(TALOT2)によると、2005 年 10 月の期待しない（一方的な）アクセス
の総数は、10 観測点で 544,645 件ありました。1 観測点で 1 日あたり 402 の発信元から 1,757
件のアクセスがあったことになります。
TALOT2 での１観測点の環境は、インターネットを利用される一般的な接続環境と同一なの
で、インターネットを利用される皆さんの環境へも同じくらいの一方的なアクセスがあると考えら
れます。言い換えれば、あなたのコンピュータは、毎日、平均して、402 人の見知らぬ人(発
信元)から、発信元一人当たり 4∼5 件の不正と思われるアクセスを受けていると言うこと
になります。これは、2005 年９月に比べて、アクセス数で増加、発信元数で減少という状況で
す。
1観測点での1日あたりの平均アクセス数と発信元数
2000
1800
1600
平均アクセス数
1514
1757
平均発信元数
1604
1446
1543
1400
1200
1000
800
600
502
496
439
440
400
402
200
0
2005年6月
2005年7月
2005年8月
2005年9月
2005年10月
【図 1 1 観測点での 1 日あたりの期待しない(一方的な)アクセス数および発信元数】
2005 年 6 月∼10 月までの各月の 1 観測点での 1 日あたりの平均アクセス数および、それら
のアクセスの平均発信元数を図 1 に示しています。この図を見ると、アクセス数および発信元数
が同じ水準であるようです。状況は定常化していると言えます。
2．10 月のアクセス状況
あいかわらず、Windows の脆弱性を狙っていると思われる不正なアクセスが多いようです。
これらのアクセスの多くは、ボットに感染したコンピュータから送信されていると思われます。
特にアクセス数の多い 135(TCP)ポート,445(TCP)ポートへのアクセスは、Windows の脆弱性
を狙っています。これらのアクセスの多くが国内発信であることから、国内でのボットの感染が
-1-
広がっていることが予測されます。
システムの管理者は、サーバに脆弱性がないか確認し、常に最新の状態に保つことに心掛
けて下さい。
一般のコンピュータ利用者は、これらのボットに感染しないために、自分のコンピュータを最
新の状態に保ち、ウイルス対策ソフト等を有効利用することをお勧めします。
■対策のしおり - ボット対策、スパイウェア対策 http://www.ipa.go.jp/security/antivirus/shiori.html
IPA は、情報セキュリティ対策のための「ボット対策のしおり」および「スパイウェア対策のし
おり」を作成いたしました。
本しおりは、一般の家庭ユーザや社内でパソコンを利用する方を対象に、ボット対策やスパ
イウェア対策を分かりやすく説明したものです。気軽に読んでいただけるよう、挿絵を多用し、
それぞれの脅威の概要、仕組み、対策を理解し、把握できるように工夫しております。これらの
脅威への対策を実践するために、ぜひご活用ください。
10 月の特徴的なアクセスは 1026/1027(UDP)ポートへのアクセスおよび 20000(UDP)ポートへ
のアクセス数の増加です。
10 月のアクセス数と発信元数の関係を図 1 でみると、ここ数ヶ月と比べて、発信元数が減少し
ている割にはアクセス数が多い状況です。この理由として挙げられるのは、1026/1027(UDP)へ
のアクセスの増加です。これらのアクセスは、1026(UDP)ポートや 1027(UDP)ポート経由で、
Windows Messenger 機能を利用したポップアップメッセージを送りつけるものです。
特に害のあるアクセスではありませんが、パソコンを操作する上では邪魔な存在です。これら
のアクセスについては、「2.4 1026/1027(UDP)ポートへのアクセスについて」に詳細を記述
します。
さらに、20000(TCP/UDP)へのアクセスが、観測点のＩＰアドレス変更と同時に観測されました。
-2-
このアクセスについても、「2.5 20000(TCP/UDP)ポートへのアクセスについて」に詳細を記述
します。
2.1 2005 年 10 月の一方的なアクセス状況
1日あたりのアクセス数(10観測点)
25000
その他
20000(UDP)
4899(TCP)
137(UDP)
1433(TCP)
Ping(ICMP)
139(TCP)
1027(UDP)
1026(UDP)
445(TCP)
135(TCP)
20000
15000
10000
5000
10/31
10/29
10/27
10/25
10/23
10/21
10/19
10/17
10/15
10/13
10/11
10/09
10/07
10/05
10/03
10/01
0
【図 2.1.1 2005 年 10 月の一方的なアクセス状況(アクセス数)】
5000
その他
20000(UDP)
4899(TCP)
137(UDP)
1433(TCP)
Ping(ICMP)
139(TCP)
1027(UDP)
1026(UDP)
445(TCP)
135(TCP)
4000
3000
2000
1000
10/31
10/29
10/27
10/25
10/23
10/21
10/19
10/17
10/15
10/13
10/11
10/09
10/07
10/05
10/03
0
10/01
1日あたりの発信元数(10観測点)
6000
【図 2.1.2 2005 年 10 月の一方的なアクセス状況(発信元数)】
-3-
2.2 2005 年 10 月の宛先(ポート種類)別の比率
1%
1%
9%
1%
3%
3%
33%
6%
7%
8%
135(TCP)
445(TCP)
1026(UDP)
1027(UDP)
139(TCP)
Ping(ICMP)
1433(TCP)
137(UDP)
4899(TCP)
20000(UDP)
その他
28%
【図 2.2.1 2005 年 10 月の宛先(ポート種類)別アクセス数の比率】
0% 13%
2%
32%
5%
4%
8%
7%
1%
2%
26%
【図 2.2.2 2005 年 10 月の宛先(ポート種類)別発信元数の比率】
-4-
135(TCP)
445(TCP)
1026(UDP)
1027(UDP)
139(TCP)
Ping(ICMP)
1433(TCP)
137(UDP)
4899(TCP)
20000(UDP)
その他
16000
14000
12000
10000
8000
6000
4000
2000
日本
中華人民共和国
その他
香港
アメリカ合衆国
韓国
10/31
10/29
10/27
10/25
10/23
10/21
10/19
10/17
10/15
10/13
10/11
10/09
10/07
10/05
10/03
0
10/01
1日あたりの葉新元地域別アクセス数(10観測点)
2.3 2005 年 10 月の発信元地域別アクセス状況
台湾
2500
2000
1500
1000
500
日本
中華人民共和国
その他
香港
アメリカ合衆国
【図 2.3.2 2005 年 10 月の発信元地域別発信元数の変化】
-5-
韓国
10/31
10/29
10/27
10/25
10/23
10/21
10/19
10/17
10/15
10/13
10/11
10/09
10/07
10/05
10/03
0
10/01
1日あたりの発信元地域別発信元数(10観測点)
【図 2.3.1 2005 年 10 月の発信元地域別アクセス数の変化】
台湾
2.4 1026/1027(UDP)ポートへのアクセスについて
1日あたりの宛先(ポート種類)別
アクセス数(10観測点)
3000
1026(UDP)
1028(UDP)
1023(TCP)
1032(UDP)
1030(TCP)
1036(TCP)
2500
2000
1027(UDP)
1030(UDP)
1031(UDP)
1024(TCP)
1032(TCP)
1025(TCP)
1029(UDP)
1025(UDP)
1029(TCP)
1035(TCP)
1500
1000
500
10/26
10/05
10/12
10/19
09/21
09/28
09/07
09/14
08/24
08/31
08/10
08/17
07/27
08/03
07/13
07/20
06/29
07/06
06/15
06/22
06/01
06/08
0
【図 2.4.1 102x および 103x(TCP/UDP)ポート等へのアクセス状況】
z
z
1026/1027(UDP)ポートへのアクセスが 10 月に入ってから増加傾向を示しています。これら
のアクセスは、ほとんどが中国方面からのものです。
これらのアクセスは、1026(UDP)ポートや 1027(UDP)ポート経由で、Windows Messenger 機
能を利用したポップアップメッセージを送りつけるケースであり、以前から定常化していまし
た。TALOT2 の観測では、各観測点へ同一の発信元から送られてくる場合もあり、かなり広
い範囲へ一方的に送られていることが分かります。
メッセージ本文例(綴りは原文のままですが、一部伏せ字になっています)
VIRUS OUTBREAK ALERT
Name: Worm.SomeFool.AL
Aliases: Email-Worm.win32.NetSky.C
Type:
Win32 Worm
Desc:
Email Worm, Win32.HLLM.Netsky (Drweb), Win32.Netsky.C
If you already downloaded the Anti-Virus Pro, please update your virus
definition immediatly. Otherwise, please read the following instructions.
INSTRUCTIONS to Secure Your Computer:
1. Write down the web site address: http://***********.com
2. Open your Web Browser
3. Type the web site address: http://**********.com into the
"Address" box at the top of your web browser and press the "Go" button
4. Click on "here" link to download and install the Anti-Virus program
DO NOT CLICK THE "OK" BUTTON BELOW UNTIL
YOU HAVE WRITTEN DOWN: http://***********.com
z
2005 年 8 月のプレスリリースでも、この件については報告しましたが、今回は増加傾向が大
きいようです。
-6-
さらに、この増加傾向に合わせたかのように、102x/103x(TCP/UDP)ポートへのアクセスが
目立つようになりました(図 2.1.4 を参照下さい)。この中で、特に多いのが、1029(TCP/UDP)
ポートへのアクセスと 1030(UDP)ポートへのアクセスです。これらのアクセスも、その多くが
中国方面からのものですが、何らかの攻撃ツールによるものと思われますが、詳細につい
ては、現在調査中です。
900
800
700
600
1025(TCP)
1028(UDP)
1030(UDP)
1029(UDP)
1023(TCP)
1031(UDP)
1025(UDP)
1029(TCP)
1032(UDP)
1030(TCP)
1024(TCP)
1032(TCP)
1035(TCP)
1036(TCP)
500
400
300
200
100
10/26
10/12
10/19
10/05
09/28
09/14
09/21
09/07
08/31
08/17
08/24
08/10
07/27
08/03
07/20
07/13
06/29
07/06
06/22
0
06/15
z
06/01
06/08
z
一方的にインターネットから送られてきたメッセージ(スパムメッセージのようなもの)なので、
無視すれば問題はありませんが、不正なアクセスであることにかわりがありません。メッセー
ジ中には具体的な操作指示が書かれていますが、従わないで下さい。表示された画面や
ダイアログ(プロンプト)ボックスは、×ボタンで終了して下さい。
表示させたくなければ、インターネット側(WAN 側)からの 1026 ポートおよび 1027 ポートをフ
ァイアウォールで閉じる(Windows XP の場合は、ファイアウォール機能を有効にすることでも
同じです)か、Messenger サービスを無効にすることになります。ただし、企業内 LAN 等で使
用しているコンピュータの場合は、システム管理者の指示に従って下さい。
1日あたりのアクセス数(10観測点)
z
【図 2.4.2 1026/1027(UDP)を除く 102x および 103x(TCP/UDP)ポート等へのアクセス状況】
-7-
2000
1800
20000(UDP)
20000(TCP)
1600
1400
1200
1000
800
600
400
200
0
10/01
10/02
10/03
10/04
10/05
10/06
10/07
10/08
10/09
10/10
10/11
10/12
10/13
10/14
10/15
10/16
10/17
10/18
10/19
10/20
10/21
10/22
10/23
10/24
10/25
10/26
10/27
10/28
10/29
10/30
10/31
1日あたりの宛先(ポート種類)別アクセス数
(特定観測点)
2.5 20000(TCP/UDP)ポートへのアクセスについて
【図 2.5.1 20000(TCP/UDP)ポートへのアクセス状況(アクセス数)】
1日あたりのアクセス数(特定観測点)
2500
その他
ドイツ
チリ
オーストラリア
アメリカ合衆国
カナダ
マレーシア
イギリス
台湾
中華人民共和国
2000
1500
1000
500
10/01
10/02
10/03
10/04
10/05
10/06
10/07
10/08
10/09
10/10
10/11
10/12
10/13
10/14
10/15
10/16
10/17
10/18
10/19
10/20
10/21
10/22
10/23
10/24
10/25
10/26
10/27
10/28
10/29
10/30
10/31
0
【図 2.5.2 20000(TCP/UDP)ポートへのアクセス状況(発信元地域)】
z
z
z
z
z
TALOT2 での観測点の 1 つで、観測点 IP アドレスを更新したとたんに、20000(TCP/UDP)
ポートへのアクセスが発生しました。
このアクセスの詳細は不明ですが、P2P 関連のファイル交換あるいはオンラインゲーム関係
のアクセスではないかと予測されます。世界中からアクセスと言うことでは、ファイル交換で
ある可能性が高いと考えられます（詳細は不明）。
観測点の観測用 IP アドレスを変更した際に、新しく取得した IP アドレスが、以前ファイル交
換あるいはオンラインゲームに利用していた可能性が高いと思われます。
実際には、1 週間程度で終息しましたが、このようなアクセスが、検出されるのも、一般利用
者と同一の環境で観測している TALOT2 ならではのものと考えられます。
この観測の結果、このようなアクセスは、一般の利用者の環境でも起こりうると言うことになり
ます。
-8-
3．統計情報
3.1 2005 年 6 月∼10 月の宛先(ポート種類)別の比率
100%
宛先(ポート種類)別アクセス数の比率
90%
その他
1434(UDP)
4899(TCP)
137(UDP)
PING(ICMP)
1433(TCP)
1027(UDP)
1026(UDP)
139(TCP)
445(TCP)
135(TCP)
80%
70%
60%
50%
40%
30%
20%
10%
0%
6月
7月
8月
9月
10月
平均
【図 3.1.1 2005 年 6 月∼10 月の宛先(ポート種類)別アクセス数の比率】
100%
宛先(ポート種類)別発信元数の比率
90%
その他
1434(UDP)
4899(TCP)
137(UDP)
PING(ICMP)
1433(TCP)
1027(UDP)
1026(UDP)
139(TCP)
445(TCP)
135(TCP)
80%
70%
60%
50%
40%
30%
20%
10%
0%
6月
7月
8月
9月
10月
平均
【図 3.1.2 2005 年 6 月∼10 月の宛先(ポート種類)別発信元数の比率】
-9-
3.2 2005 年 6 月∼10 月の発信元地域別の比率
100%
発信元地域別アクセス数の比率
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%
6月
日本
7月
中華人民共和国
韓国
8月
9月
10月
香港
アメリカ合衆国
台湾
平均
その他
【図 3.2.1 2005 年 6 月∼10 月の発信元地域別アクセス数の比率】
発信地域別発信元数の比率
100%
80%
60%
40%
20%
0%
6月
日本
7月
中華人民共和国
韓国
8月
9月
10月
香港
アメリカ合衆国
台湾
平均
その他
【図 3.2.2 2005 年 6 月∼10 月の発信元地域別発信元数の比率】
-10-
4．その他の統計情報
4.1 2005 年 6 月∼10 月の時間帯統計
2005 年 6 月∼10 月の宛先(ポート種類)別アクセス数の時間帯統計を図 4.1.1 に、2005 年 10
月の宛先(ポート種類)別アクセス数の時間帯統計を図 4.1.2 に示します。
135(TCP)
1433(TCP)
445(TCP)
PING(ICMP)
その他
137(UDP)
139(TCP)
4899(TCP)
1026(UDP)
1434(UDP)
23時
22時
21時
20時
19時
18時
17時
16時
15時
14時
13時
12時
11時
10時
9時
8時
7時
6時
5時
4時
3時
2時
1時
0時
時間帯毎の宛先(ポート種類)別アクセス数の割合
1027(UDP)
【図 4.1.1 2005 年 6 月∼10 月の宛先(ポート種類)別アクセス数の時間帯統計】
135(TCP)
PING(ICMP)
445(TCP)
1433(TCP)
その他
137(UDP)
1026(UDP)
4899(TCP)
1027(UDP)
20000(UDP)
23時
139(TCP)
【図 4.1.2 2005 年 10 月の宛先(ポート種類)別アクセス数の時間帯統計】
-11-
22時
21時
20時
19時
18時
17時
16時
15時
14時
13時
12時
11時
10時
9時
8時
7時
6時
5時
4時
3時
2時
1時
0時
時間帯毎の宛先(ポート種類)別発信元数の割合
5．補足説明
以下に、当月にアクセス数の多かった宛先(ポート種類)の解説を行います。
ポート種類
445(TCP)
解説
保護のあまいファイル（ネットワーク）共有や Windows2000 特有の
脆弱性を狙った不正アクセスが有名 (W32/Sasser など)
135(TCP)
Microsoft Windows Remote Procedure Call(RPC)のデフォルトポー
トであり、RPC に関する脆弱性(MS03-026)を狙った不正アクセスが
有名(W32/MSBlaster など)
1026(UDP)/1027(UDP) Microsoft Windows Messenger service（MSN Messenger とは別物）
を利用したポップアップ(スパム)メッセージの送信で有名である
139(TCP)
保護のあまいファイル(ネットワーク)共有を狙った不正アクセスが有
名ですが、一般的に Windows の脆弱性を狙ったアクセスである可
能性が高いようです
Ping(ICMP)
相手のコンピュータが動作中か調べる目的で使用されるが、不正
アクセスの対象コンピュータを探す目的で、W32/Welchia などに利
用されたことで有名
1433(TCP)
Microsoft SQL Sever の既定ポートであり、SQL Server が動作中の
コンピュータを探す目的や、SQL Server の脆弱性を狙った不正ア
クセスなどがある
137(UDP)
NETBIOS のポートであり、NETBIOS 経由でのコンピュータへの接
続(侵入)などの目的で使用される
20000(UDP)
20000 ポートを利用するトロイの木馬（Millenium）などがあります
が、今回のアクセスについては、詳細は不明(本文を参照下さい)
4899(TCP)
リモート操作を行うための RAdmin の脆弱性を狙った不正アクセス
が有名。RAdmin は複数のコンピュータを遠隔操作するためのアプ
リケーションである
■お問い合わせ先
独立行政法人情報処理推進機構セキュリティセンター
花村／加賀谷／内山
Tel:03-5978-7527 Fax:03-5978-7518 E-mail:[email protected]
-12-

Download Report