また、総観測パケットに占める海外組織からの調査目的と見られるスキャンの割合は、2022年の54.9%から更に増加し、63.8%を占めました。調査機関によるスキャンパケットが半数以上を占める傾向は、2019年以降継続していますが、その割合は年々増加する傾向が続いています。
このような調査目的のスキャンパケットを除いた上で、2023年にNICTERで観測した主な攻撃対象(宛先ポート番号)の上位10位までを表したものが図2です。円グラフの水色の部分が、WebカメラやホームルータなどのIoT機器に関連したサイバー攻撃関連通信です。
上位10位までのポートが全体に占める割合は、2022年とほぼ同じでしたが、最も多いTelnet (23/TCP)を狙った攻撃が占める割合は若干増加し、2022年の23.0%から27.1%へと推移しました。その他のポート番号宛ての通信については、2022年と比べて多少の順位の入れ替わりはあるものの傾向の大きな変化は見られず、IoT機器が使用する特徴的なポート番号宛ての通信が上位に多く観測される傾向が継続しました。
個別の観測事象に目を転じると、2021年以降継続して観測されている韓国製DVR製品のMiraiへの感染に加え、モバイル回線に接続された複数のLTEルータがMiraiに感染し、DDoS攻撃の踏み台として悪用される事象が観測されました。NICTERプロジェクトでは、製品開発者の協力の下、機器の脆弱性調査や実機をインターネットに接続した攻撃観測を実施し、攻撃の実態把握及び製品開発者との観測結果の共有に努めました。
DRDoS攻撃の観測では、絨毯爆撃型DRDoS攻撃が頻繁に発生したため、年間の攻撃件数が2022年の3,465万件から5,561万件へと大幅に増加しました。攻撃に悪用されたサービスの種類は、2022年の151種類から21種類へと減少しましたが、不適切な設定で外部に公開されているIoT機器のサービスを悪用したDoS攻撃が観測されました。
インターネットに公開された機器やサービスの脆弱性が悪用され、組織が侵害される事案が多数発生していますが、NICTERプロジェクトにおいても、第三者によるインターネットの広域スキャンがますます増加する傾向を観測しています。これら標的となり得るIT資産の脆弱性管理の重要性を再認識するとともに、インシデント等の被害の発生状況や脆弱性を悪用する攻撃ツールの公開等に関する情報を迅速に共有し、対策方法の検討や啓発、被害の拡大防止に向けた注意喚起を迅速に行うことが、ますます重要になっています。
