# DRAFT # Security Report 2020-01

Tech Security

はじめに

ファイアウォールのログを眺めているとMirai に関連のあると思われるパケットをたくさん受けていた. 簡単に内容を整理する.

取得日時は適当な範囲で,かつ,極短期間に収集したデータなのでサンプル数が少ないため,ドラフトとしておく.

※図が表示されなかったら教えてください. ※もしかするとUDPTCPのデータが混在していたかもしれません.(ドラフトなので...)

ポートスキャンについて

ファイアウォールのログを見ると謎のIPから飛んでくる謎のパケットが多数記録されていたので,対象となっていたポートを集計した.

f:id:HeavyMoon:20200111180557j:plain
(a)
f:id:HeavyMoon:20200111180601j:plain
(b)
図1.TCPポート毎のパケット数

まんべんなくポートスキャンされていることがわかる. また特定のポートについては集中的にパケットを受けていたことがわかる.

対象となっていたポートの上位は以下の通り.

Port 1433

Microsoft SQL Server で利用される.

WEBカメラや家庭用ルータなどを主要ターゲットとしたマルウェア Mirai というものがある. その界隈では2016年のDDoS攻撃で一躍有名になり,多数の亜種も確認されている.

本ポートはポートスキャン機能が強化されたMiraiのものと思われる1. また今回スキャン対象となった他の多くのポートもMiraiによるものと思われる.

Port 52869

ロジテック製のルータでUPnP用インタフェースとして利用される.

警視庁の報告によると,2017年11月1日ごろからこのポート番号への攻撃を多数観測しているとのこと2. これにあわせてポート23/TCP及び2323/TCPへのTelnet探索も増加しているもよう.

またNICTER 観測レポートによると,このポートはMiraiのダウンロードに利用されているとのこと3

Port 23

Telnet で利用される.

遠隔操作用のプロトコルだけあって比較的狙われやすいポート. また他のポート同様 Mirai に関連する通信と思われる.

国ごとのパケット数について

パケットの送信元を国別に集計した.

f:id:HeavyMoon:20200111180604j:plain
(a)
f:id:HeavyMoon:20200111180606j:plain
(b)
図1. 国毎のパケット数

オランダ (Netherlands)からのパケットが圧倒的に多く,140パケットを観測した. 2位の中国はその半数程度のの70パケット程度となっている.

2016年のトレンドマイクロの報告によると,オランダのサーバホスティング事業者は2015年初頭から標的型攻撃の温床となっているとのこと4

有事の際にデータ開示に応じない防弾ホスティングサービス(bulletproof hosting service、BPHS)というものがあり, 日本では漫画村の一件で少し名前が上がっていた.

こうしたオランダの防弾ホスティングサービスの利用者が未だ増加傾向にあるのかもしれない.

others に含まれている国々等

観測したパケットは少ないものの,こんなところからもパケットが飛んでるくのかと思うものがいくつかあった. 個人的に興味深かったものをいくつか上げておく.

  • Bouvet Island
  • Colombia
  • Costa Rica
  • Cyprus
  • Egypt
  • Kyrgyzstan
  • Indonesia
  • Moldova
  • Puerto Rico
  • Seychelles

実に色々なところから攻撃してくるものである. 特にセーシェルブーベ島は初めて聞く名前だった.

セーシェルはアフリカ大陸から1300km離れたインド洋に浮かぶ115の島々からなる島国らしい. ウィキペディアによると2017年時点の在日セーシェル人は4人しかいないらしい5. 一生のうちにセーシェルからのパケットは観測できても,セーシェル人と会うことは限りなくなさそう.

セーシェルは自然豊かですごく海がきれい.いつか行ってみたい.

www.google.com

ブーベ島南大西洋亜南極に浮かぶノルウェー領の火山島らしい. ウィキペディアによると2016年現在無人島とされている6. 怪しいなぁと思っていたらウィキペディアにはこんな記載があった.

ノルウェー王国の一部ではなく属領という位置づけにあり、国際標準化機構の定めるISO 3166では単独の国名コード BV / BVT が与えられている。そのため、孤絶した無人島であるにもかかわらず、アマチュア無線やインターネットなどの分野では、国に準ずる地域として扱われている。

無人島でも国名コードはあるらしい. また,アマチュア無線の世界では Expedition なるものがあるらしく,ブーベ島から電波を出して遊ぶらしい. 2019年4月の試みは失敗に終わったらしく,リトライの準備を進めているらしい7

募金も募っている.せっかくなので募金先を貼っておく.

閑話休題

ただブーベ島から来たらしいIPを調べると管理しているのは Njalla らしいので,どのみち怪しい8 9

まとめ

  • めちゃくちゃポートスキャンされてる
  • Mirai が猛威を奮っているっぽい
  • オランダからのパケットが多い
  • セーシェル行ってみたい
  • アマチュア無線面白そう10

出典

  1. ポートスキャン機能を増強した「Mirai」、Windowsも踏み台に追加 | トレンドマイクロ
  2. 脆弱性が存在するルータを標的とした宛先ポート52869/TCPに対するアクセス及び日本国内からのTelnetによる探索を実施するアクセスの観測等について | 警視庁
  3. ルータ製品の脆弱性を悪用して感染を広げる Mirai の亜種に関する活動(2017-12-19) | NICTER 観測レポート
  4. サイバー攻撃に利用されやすい、オランダのホスティングサービス | トレンドマイクロ
  5. セーシェル | Wikipedia
  6. ブーベ島 | Wikipedia
  7. 3YØI preparations resumed
  8. Njalla
  9. 「完全な匿名性」を標榜するドメイン登録サービス「Njalla」開始
  10. ブーベ島 | yamaはのん~びり