【レポート】2022年のサイバー攻撃を総括する ~NICTのダークネット観測が捉えた脅威を振り返って~ # Security Days Spring 2023

2023年3月7日から10日に行われているSecurity Days Spring 2023 Tokyoに参加しました。本記事はそのセッションレポートです。

さいちゃん

2023.03.09

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうもさいちゃんです。

この記事は2023年3月7日から10日に行われたSecurity Days Spring 2023 Tokyoで発表された「2022年のサイバー攻撃を総括する ~NICTのダークネット観測が捉えた脅威を振り返って~」というセッションのレポートブログになります。

セッション概要

NICTでは約30万個の未使用IPアドレスからなるダークネット観測網「NICTER」に届くパケットを集取し、送信元のホスト(サーバやIoT機器)やボット化してダークネット宛にスキャンする原因となったマルウェア、感染原因の脆弱性調査などを行い、1年間の観測傾向をレポートにまとめています。本セッションではNICTERが捉えた2022年のサイバー攻撃を総括し、脅威の実態をお伝えします。

スピーカー

情報通信研究機構 サイバーセキュリティ研究所 サイバーセキュリティネクサス
上席研究技術員 久保 正樹 氏

レポート

2022年のサイバー攻撃の全体傾向について

NICTERダークネット観測とは

  • 使われていないIPアドレスにセンサーを付け観測
  • ダークネット観測
  • ばらまき型攻撃の把握に
  • ワーム型マルウェアによるスキャン
  • DDoSの踏み台を探す
  • 脆弱な方途を探す
  • DoSの跳ね返り

観測結果

  • サイバー攻撃観測の件数は右肩上がり
  • 1IPあたり年間180万件の不審な通信
  • ボットの活動は衰えず(横這い)
  • 調査スキャンは常態化している
  • 脆弱性のの公開によって調査スキャンがスパイクすることも
  • IoT機器を標的とした攻撃が全体の4割
  • 特に多かったのがNoSQLデータベースRedisを標的としたアクセス
  • 脆弱性を標的にマルウェア感染を試みる
  • セット使われることの多いDockerを標的としたアクセスも多かった

グロバールIPに対する広域的スキャンのが常態化

  • 見知らぬ第三者によってアタックサーフェス管理が行われている
  • スキャン実施組織、スキャン送信元IPアドレス数が増加
  • 高レートのスキャンによる被害も
  • CPU使用率が100%になってしまいログが欠損することも
  • 誰が広域スキャンを行っているの?
  • 身元を特定できたIPアドレスは74%
  • 身元が特定できても目的や正体が不明な組織が少なくない
  • 身元が分からないホストからのバケットの方が多い
  • セキュリティベンダーや大学が研究目的でスキャンを行う場合も

まとめ

  • インターネット広域に対するアタックサーフェス管理が調査機関や身元不明の第三者により活発におかなわれている
  • 脆弱性や不用意に公開されているサービスはないか
  • IoT機器を標的とした攻撃は依然として活発

国内のIoT機器の感染状況について

  • 未使用IPアドレスに通信をしてくるのは不正通信のことが多い
  • 日本国内のダークネットの送信元
    • ブロードバンドルーター
    • Google非認証のAndroid搭載機器など
  • 2022年は韓国製DVR製品の観測が目立った
  • 監視カメラの映像を録画するための機器の感染
  • 国内ダークネット送信元ホスト
    • Windowsの感染が目立つ
    • Windowsを標的とした攻撃傾向は日本国内でも多い
    • IoT関連機器が標的となった攻撃
    • なぜか特定キャリアからの不正通信が行われていることも
    • Mirai感染機器も多い
  • 日本のDVR製品によるDDoSは北米でも問題に
  • DDoSは右肩上がりで北米でも観測
  • ボットネットが最大のDDoSの発信源
  • 韓国OEM性DVR・NVR製品の脆弱性
  • 8種類の韓国製機器をNICTで調査
  • 7機種に未公開の脆弱性を検知
  • DVR機器を狙う攻撃には2種類
  • 無差別型とピンポイント型
  • 無差別型攻撃
    • 対象の危機が多い国にスキャンを行い応答のあったホストに対して無差別に攻撃
    • 攻撃ツールを悪用した攻撃を実機で観測
    • 攻撃者は未公開の脆弱性を悪用
    • 実機に対して1日あたり数十件~数百件の攻撃
    • 攻撃者はIPアドレスを変えながら攻撃を続けている
  • ピンポイント型
    • 脆弱な機器のIPアドレスにピンポイントで攻撃
    • なかなか観測しにくいタイプ
    • 脆弱な製品ではDDNSサービスを用いてホスト名を割り当てる機器が使われた
    • 例えばMACアドレスの上位6桁は固定の場合
    • 総当たりの名前解決をして攻撃をしてきた

感染機器の多くに共通する問題

  • グローバルIPアドレスで運用されている
  • 法人向けSIMカードで固定IPアドレスを割り当てる
  • 管理用WEBUIや脆弱性を抱えるサービスが公開されている
  • デフォルトパスワードの使用など
  • 海外OEM製品のためサプライチェーンリスク

IoT機器を守るために

  • ユーザー
    • グローバルIPアドレスを割り当てない
    • ルーター配下での運用をする
    • 想定していないポートが空いていないかつなぐ前に確認
  • ベンダ側
    • 開発元と脆弱性対応体制を確立
    • 製品インシデントが発生したら、する前に相談する(セキュリティベンダやNICT)
    • セキュリティ基準をクリアした製品設計、開発、検査を行う
    • CCDS「IoT機器セキュリティ適合ガイドライン」等の参照

最後に

2022年のサイバー攻撃の全体傾向を把握することが出来ました。国別の結果や国内では主にどういったものを標的とした攻撃が多かったのかなどを知ることができ、勉強になりました。 本セッションの元となっているNICTER観測レポートはこちらから確認できます。是非合わせてご覧ください。

AWS

関連記事

GuardDuty Findingsのフィードバック機能の動作をマネジメントコンソールとboto3で確認してみた

臼田佳祐

2024.04.16

インシデントレスポンスのライフサイクルを廻すポイントってなに 【資料公開】 #devio_osakaday1

酒井剛

2024.04.12

Splunk の CIM (Common Information Model) の使い方と CIM 対応 App について理解する

佐久間昇吾

2024.04.06

Exploring WhatsApp Data with Splunk: A Hands-On Guide

HemanthKumar R

2024.04.05