JPCERT/CC、2021年7~9月期のインターネット定点観測レポートを公開
JPCERT/CCは10月19日、2021年7~9月期のインターネット定点観測レポートを公開した。
「インターネット定点観測レポート」は、インターネット上に分散配置した複数の観測用センサーを用いてインターネット上を流れるパケットを継続的に収集し、その分析結果をまとめたもの。脆弱性の情報やマルウェアなどの情報と併用することによって、サイバー攻撃活動などの兆候を把握しようとする取り組み。
7~9月期に国内で観測されたパケットの宛先ポート番号のトップ5は次の通り。
1位 23/TCP(telnet)
2位 6379/TCP(redis)
3位 22/TCP(ssh)
4位 445/TCP(microsoft-ds) 1
5位 80/TCP(http)
この中で、「6379/TCP」への増加は注目点となっている。6379/TCPはインメモリデータベースRedisの待ち受けポートとして使用されることが多いポート番号。6379/TCP宛のパケットは、中国を送信元とするパケットが8割を超えており、次いで米国、シンガポール、香港、ロシアといった地域からのパケットが観測された。
JPCERT/CCでは、6379/TCP宛てパケットの送信元の一部が、不正アクセスを試みるリクエストであることも確認したという。パケットの送信元については、特定のOSやソフトウェアが稼働しているなど共通する要素は見られていないという。仮に何らかの脆弱性を対象とした攻撃が行われ、その結果マルウェアに感染したホストから6379/TCP宛のパケットが送信されるようになったとすると、日本国内を含むさまざまな地域で6379/TCP宛のパケットを送信するホストが増えるはずだが、そうした変化も見られていない。そのため、この事象の背景は、マルウェア感染でなく、サーバーが侵入を受けて攻撃の踏み台にされているケースや、攻撃者がインフラを用意しているケースなどに絞られる。それ以上は現在のところ原因がはっきりしていない。
いずれにせよ、サーバーの管理者は管理するサーバーに意図しないアクセスなどがないことを確認し、対策を取ることが肝要としている。
(川原 龍人/びぎねっと)
[関連リンク]
レポート本文
その他のニュース
- 2024/12/10 systemdの代替を目指すサービスマネージャ「GNU Shepherd 1.0」リリース
- 2024/12/9 軽量なLinuxディストリビューション「manjaro 24.2」リリース
- 2024/12/9 JavaScript/TypeScript対応Webフレームワーク「Astro 5.0」リリース
- 2024/12/8 openSUSE project、「openSUSE Leap micro 6.1」をリリース
- 2024/12/8 「GNOME 47.2」リリース
Think ITメルマガ会員登録受付中
全文検索エンジンによるおすすめ記事
- JPCERT/CC、TSUBAMEレポート Overflow(2021年7~9月)を発表
- JPCERT/CC、インターネット定点観測にてTCP 445番ポートへのアクセス増加を確認
- 今この瞬間の攻撃を分析・可視化するnicter
- セキュリティを脅かすさまざまな攻撃手法
- JPCERT、国内からのTCP22番ポートへのアクセス増加について注意喚起
- JPCERTが2019年第4四半期のインシデント報告対応レポートを発表、マルウェア「Emotet」の相談が増加
- インメモリデータベース「Redis 6.0.10」リリース
- NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ
- NATサーバに必要なファイアウォール設定とデータベースサーバ、メールサーバ
- 新規攻撃にも動じないネットワークを!