2022年8月19日

インターネット定点観測について

NECサイバーセキュリティ戦略統括部セキュリティ技術センターのA藤(ハンドルネーム)です。今回のブログでは、「サイバー攻撃を観測すること」についてみていきます。センサを用いたインターネット定点観測を行っている組織と過去の事例報告、また個人レベルで定点観測を行う例としてハニーポットのプラットフォームであるT-Potの導入とその観測結果についてまとめました。

インターネット定点観測とは

インターネット上に観測用のセンサ[1]を配置し、そのセンサで収集した情報から攻撃の傾向を把握することが、場合によっては可能になります。
国内では@police(警察庁)[2]やTSUBAME(JPCERT/CC)[3]があります。また、インターネット上の未使用IPアドレス空間の大規模観測としてNICTER(NICT)[4]があります。他にも様々な組織がセンサを使って観測を行っています。

過去の攻撃観測

各組織が観測した事例について、調べてみました。

・@policeによる「Log4Shell」(CVE-2021-4228)[　 5, 　6]の観測

Log4Shellとは、Javaのログ出力ライブラリであるApache Log4jのv2[7]に見つかったリモートコード実行の脆弱性(CVE-2021-4228)の名称です。2021年11月に、AlibabaのCloud Security Teamsにより発見されました。脆弱性情報は12月9日に公開されています。攻撃者がサーバルックアップを利用して攻撃者の制御する文字列の値をログに記録すると、サーバ上で任意のコードを実行できるようになります。@policeはこの攻撃の観測結果と注意喚起を公開しました[6]。

この攻撃は、当初80/TCPポートへ行われていましたが、徐々に8080/TCP宛などのポートへの攻撃に拡散していったことが確認できます。また、観測数もLog4ShellのPoC[8]が確認された2021年12月10日以降に急激に増加していることが確認できます。これは定点観測を行うことで、脆弱性が見つかってから悪用を試みる攻撃の観測ができた事例になります。

・JPCERT/CCによるウクライナへの攻撃とみられる観測

JPCERT/CCは2022年4月21に「JPCERT　インターネット定点観測レポート 2022年1月1日〜2022年3月31日」[9] を発行しました。JPCERT/CCはこのレポート内で、2月中旬頃からウクライナを送信元地域としたSYNとACKフラグがセットされたTCPパケットを確認したと報告しました。これは、ウクライナがDDoS攻撃を受けた際に発生したものと推測されます。このレポートによれば、攻撃者はTSUBAMEのセンサのIPアドレスを送信元アドレスとして設定して、攻撃対象（ウクライナ）のサーバに対してSYNフラグをセットしたパケット(以下SYNパケット)を送っています。それに対して、攻撃対象のサーバはSYN+ACKフラグをセットしてパケット(以下SYN+ACKパケット)を返信したと推測される、と説明しています。レポート内ではこれを「跳ね返りパケット」と表記しています。
この流れを理解するために、まずTCP通信[10]のコネクション成立までの流れを下に記します。

図2は、TCP通信のthree-way handshakeと呼ばれる動きです。TCPではClientからServerへSYNパケットを送ったあと、 ServerはSYN+ACKパケットをClientに返信します。その後、ClientはACKフラグがセットされたパケット(以下ACKパケット)をServerに送り、両方とも状態がEstablishedになった後通信が開始されます。
この接続時のやり取りを利用して攻撃を行う手法に、大量にSYNパケットを送る「SYN-flood攻撃」[11] と呼ばれる方法があります。SYNパケットを大量に送られた受信側は、送信元IPアドレスに対してSYN+ACKパケットを返します。その後、受信側はSYN+ACKパケットへの確認応答としてACKパケットが送られてくることを待ちますが返ってこず、その間に更に攻撃者から追加のSYNパケットが届き続けます。これによりサーバは主にメモリ等のリソースが枯渇し、正常に機能しなくなります。
上記の攻撃に更に送信元IPアドレスが偽装されたことにより生じるのが跳ね返りパケットです。偽られた送信元IPアドレスからSYNパケットを大量に送られた受信側は、偽られた送信元IPアドレスに対してSYN+ACKパケットを返すことになります。これが跳ね返りパケットです。偽られた送信元IPアドレスに使用されたアドレスは送った覚えのないSYNパケットに対するSYN+ACKパケットがきても、ACKパケットを返しません。そのため、SYNパケットを送られた受信側はACKパケットを受け取ることができず、更に攻撃が続けばリソースが枯渇して機能しなくなります。
今回観測された跳ね返りパケットを図にすると以下のようになります。

もし詐称された大量のIPアドレスに観測環境のIPアドレスが含まれていれば、その環境で跳ね返りパケットを観測できる場合があります。実際、2022年2月21日にIIJ社の根岸氏は、同社が運用するハニーポットで、ロシアによるウクライナ侵攻直後からウクライナを送信元とする跳ね返りパケット(Twitter上では、Backscatter[12]としてSYN-ACKパケットの観測結果を公開)を観測したとTwitter上で発言しています[13] 。このように、定点観測を行うことで、別の環境が攻撃を受けていたことを検知できることがあります。

・NICTERによるダークネットの観測　[4]

NICTが運営するNICTERは、インターネット上の未使用のIPアドレス領域(以下、ダークネットと表記)を観測しています。
NICTERは、ダークネットの観測を以下のように説明しています。

“”
NICTERは無差別型サイバー攻撃の大局的な動向を把握することを目的としたサイバー攻撃観測・分析システムであり、ダークネットと呼ばれる未使用のIPアドレスを大規模に観測しています。本来、未使用のIPアドレスに通信は届かないはずですが、実際にはマルウェアに感染した機器によるスキャン活動など、サイバー攻撃に関連した通信が大量に届きます。このダークネットで観測された通信の分析を通してサイバー攻撃の動向を把握し、新たな脅威の発見や対策の導出につなげることがNICTERの中心的なミッションです。(引用[4])
“”

NICTERでは、観測した一部のデータを公開しており、最大3ヶ月前のデータを誰でも取得可能です。また3ヶ月以内の日付のユニークホスト数・パケット数TOP10(国別、TCP宛先ポート別、UDP宛ポート別)を表示させることも可能です。応答がないはずのIPアドレスに対して、どのポートへ攻撃・調査スキャンが行われているか知ることができます。

NICTERのブログでは、IoT機器を標的にするマルウェア「Mirai」[14]による攻撃だと思われる観測結果などを報告しています[15]。サイバー攻撃は、未使用のIPアドレス空間にも行われていることから、「相手を選ばない」攻撃が日々これだけ多く起きていることがわかります。

ハニーポットを立ててみる

ここまで取り上げてきた観測センサを個人で構築して観測ができないかと考え、小規模のハニーポット環境を立ててみました。
ハニーポットは、悪意のある攻撃を受けやすくしたおとりのシステムです。おとりにむかってくる攻撃の傾向や送り込まれるマルウェアを分析することで、本物のシステムの対策に役立ちます[16]。
今回は、色々なハニーポットの結果がみられるT-Potを導入してみました。

T-Potとは　[17]

T-Potは、ドイツのTelekom Security社が開発を行っているハニーポット環境です。20種以上のハニーポットとElastic Stackを使用したハニーポットのプラットフォームです。今回は本ブログの執筆時点で最新のT-Pot22.04.0を使用しています。

構築環境

GitHub[15]にてシステム構築要件が記載されています。今回の構築にあたり、下記を満たすようなインフラを準備しました。

実際に構築した環境は以下の通りです。
OS；Linux (Debian 11)
T-Pot:2022/07/27時点で最新のT-Pot 22.04.0
設置場所：日本

結果

T-Potを使って構築した環境を用いて、2022年7月28日から2022年8月6日の10日間観測を行いました。観測を始めてから一週間ほど経過した時点でのダッシュボードは以下のようになりました。(7/31~8/6)

各ハニーポットへ攻撃がきていることがわかります。このダッシュボードは色々なデータを可視化して表示でき、自分でカスタマイズが可能です。
図5からは、攻撃を受けたポートやハニーポットの種類、送信元IPアドレスから割り出された国からの観測数のタイムラインがわかります。図5左下の「Attack by Destination Port Histogram」では、狙われていたポートがわかります。

123/UDPや445/TCP、5900/TCPを標的とした攻撃が多かったようです。右下の「Attacks by Country Histogram」では、送信元IPアドレスから割り出した国ごとの観測数が表示されています。

今回は、アメリカ・中国・ロシアの順番に攻撃が多かったです。ただし、踏み台として侵害されているケースやIPアドレスの地域を容易に選択・変更可能なクラウドが使用されているケース、なりすましに使用されているケース等があるため、必ずしも送信元の国情報が直接攻撃者の情報に結びつくとは限りません。

今回の環境では「DoublePulsar」バックドア[18]をインストールさせるような動きが多かったようです。
「DoublePulsar」とは、一時猛威を振るった「WannaCry」で利用されていたツールの一つです。機能としては、SMB(通常445/TCP)、もしくはRDP(通常3389/TCP)プロトコルを用いて通信を行うバックドアの一種です。

脆弱性は、「CVE-2006-2369」[19]が最も狙われたようです。この脆弱性は、RealVNCのバージョン4.1.1に生じた認証バイパスの脆弱性です。この脆弱性が公開されたのは2006年なので、今から16年前の脆弱性の悪用が試みられていたというのは驚きです。実際にこのバージョンは残っているものなのかというのは個人的に気になるところです。
図5上部を見ると、攻撃を受けたハニーポットはDdospot、Honeytrap、Dionaeaの順で多いことがわかります。
今回はDdospotに焦点をあてて中身をみてみます。

Ddospotは、UDPベースのDDoS攻撃を追跡、監視するためのハニーポットです。T-Pot上ではUDPの19,53,123,1900ポートを対象としています。

狙われたポートを見てみると、123/UDP宛ての攻撃がほとんどを占めていることがわかります。
123/UDPはNTPであり、時刻同期に使用するポートです。DDoS攻撃で123/UDPが狙われる原因としてはNTPリフレクションの踏み台としての利用が考えられます[21]。
過去に、@policeが注意喚起を出しています[22]。

まとめ

今回は、インターネット定点観測について、実際の観測事例をまとめてみました。攻撃者とその標的の間だけで閉じてしまう攻撃だと第三者は定点観測を通して攻撃を観測することはできません。しかし、DDoS攻撃による跳ね返りパケットが発生している状況のような攻撃だと、攻撃の一部を観測することが可能になります。また、「Log4Shell」のような悪用が容易な脆弱性が登場すると、攻撃者がすぐに悪用し始めている様子を定点観測によって確認することが可能です。
個人でできるインターネット定点観測としてT-Potの導入と分析を行いました。一週間程度という短い期間の放置だけでも膨大な量の攻撃を受けることがわかりました。今回は一つのIPアドレスで運用した結果でしたが、様々なプロバイダや地域で構成する複数のIPアドレスで運用すれば、より膨大な攻撃の情報を観測・収集できるようになると考えられます。
このブログを通じて、サイバー攻撃を観測することに興味を持った方は、インターネット定点観測の定期的な確認や、ご自身でハニーポットを構築してみてはいかがでしょうか。
最後になりますが、ここで確認された結果は、当環境でたまたま観測されたものであり、全世界共通で起きている攻撃とは限りません。また、もしハニーポットを構築する場合は自身が攻撃者とならないよう、十分にセキュリティを考慮し、使用するプロバイダの規約を守って構築してください。

参考

執筆者の他の記事を読む