JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は6月20日、公式ブログ「JPCERT/CC Eyes」の記事「インターネットスキャンデータから見るウクライナ」において、ウクライナ国内のインターネットから到達可能なデバイス数に関する分析結果を公表した。
これによると、ウクライナにおけるインターネットから到達可能なデバイス数は長期にわたって減少傾向にあったものの、ロシアがウクライナへの侵攻を開始した翌月の2022年3月からは、これまでのトレンドから大きく外れて急減している様子を確認できたという。
JPCERT/CCによるレポートは「Shodan」と呼ばれるサービスを用いて得られたデータを分析したもの。Shodanは、インターネットに接続されたデバイスに対してスキャンを行い、その応答からどこにどのような機器がアクセス可能な状態になっているのかを検索するサービスであり、検索対象のエリアごとに接続可能なデバイスの情報やどのバージョンのソフトウェアが使われているかといった情報を得ることができる。
Shodenが公開されているShodan Trendsでは、蓄積されたスキャンデータをさまざまな集計軸で確認することが可能であり、JPCERT/CCの研究チームはこのデータを用いてウクライナにおけるスキャン応答数の推移を分析した。その結果、同国のインターネットから到達可能なデバイス数は、2018年以降緩やかな減少が続いていることが分かったという。研究チームでは、古い製品から新しい製品への置き換わりが進んでいることが、その要因の一つとして考えられると結論付けている。
-
Shodanにおけるウクライナのスキャン応答数の推移 (ポート番号別集計データ) 引用:JPCERT/CC Eyes
2022年2月にロシアがウクライナへの侵攻を開始して以来、それまでのトレンドとは異なり急減が見られたこともわかった。下図は2017年以降の予測値と実測値を比較したグラフである。2020年以降は比較的安定して推移していたのに対して、2022年3月と4月で連続して異常値が観測されている。侵攻が激しい地域で特にこの傾向が強く出ていることも確認できているという。
-
Shodanにおけるウクライナのスキャン応答数の予測と実績 引用:JPCERT/CC Eyes
JPCERT/CCによれば、自然災害や政府による規制などによってインターネットからのアクセシビリティが変化すると、Shodanなどのデータに時系列変化として観測されるケースがこれまでにもあったという。ウクライナの状況を含めて、地域での状況の変化をこれらのデータで伺い知ることができるのは興味深いとのことだ。
