JPCERTコーディネーションセンター(JPCERT/CC)は10月24日、第3四半期(7月1日~9月30日)の「インターネット定点観測レポート」を公開した。同四半期の傾向として、9月上旬以降に中国を送信元とする53/UDP宛のパケットの増加が目立ったという。

JPCERT/CCでは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類を行っている。

レポートによると、制御システムで使用する「102/TCP」「502/TCP」「20000/TCP」のポート宛へのパケットが、8月中旬以降に多く観測されたという。このパケットには、検索エンジン「SHODAN」の特徴的な探索パケットが含まれており、制御システムに対する攻撃者の関心を裏付けるデータであると分析。

JPCERTでは、制御システムの運用者に対し、直接インターネットに接続されていないかどうか、ルータやファイヤーウォールなどを使用して適切なアクセス制御がなされているかどうか確認するように勧めている。

宛先ポート番号別パケット観測数トップ5

また、9月上旬以降には、53/UDP宛のパケット数が増減を繰り返しつつ過去見られなかった数が観測されたという。この現象は、中国の通信事業者に割り当てられた特定の2つのIPアドレスを送信元とした多数のパケットが原因だった。

これらのパケットは多数のセンサーで受信しており、似たようなDNSの再帰的な問い合せだったという。JPCERT/CCがそれらの問い合せを確認したところ、いずれのレコードも大きな応答を返すものだった。

ほかに、該当パケットを分析したところ、送信元のIPアドレスが詐称されている可能性があったという。複数のセンサーが受信している状況や各センサーでの受信頻度などから、今回の現象はオープンリゾルバの状態のDNSサーバを探索する目的ではなく、インターネット上に多数存在するオープンリゾルバを使用し、中国の通信事業者に割り当てられたIPアドレスを標的としたDNS Amp攻撃が行われていたと考えられる。

送信元地域別トップ5

JPCERT/CCでは、このような攻撃に使用されないために、自身が運用しているサーバやネットワーク機器でDNSキャッシュサーバが意図せず稼働していないかどうかを確認し、必要に応じてアップデート、パッチ、設定の変更などの適切な対策を実施することを勧めている。