JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月11日、「TSUBAMEレポート Overflow(2023年1~3月)」を公開した。「TSUBAME」はJPCERT/CCがインターネット上で通信されるパケットの動向を調査するために運営しているインターネット定点観測システムの名称。
同団体が四半期ごとに公表している「インターネット定点観測レポート」と併せて公開されており、同レポートで言及されていない海外に設置しているセンサーの観測動向やその他の活動などがまとめられている。
-
TSUBAMEレポート Overflow(2023年1~3月)
2023年1月〜3月期のインターネット定点観測レポートに関しては次のページで参照することができる。
今四半期のTSUBAMEレポートで取り上げられている動向は次のとおり。
- ある国内ホスティング事業者を送信元とした不審なパケットの観測について
2月から3月にかけて、国内の組織の複数のIPアドレスから、SSH(ポート22/TCP)やVNC(ポート5900/TCP)へのパケット送信が急増したことが観測された。SSHへのパケットは2月3日頃から観測され始め、2月8日にピークに達したことが確認されている。2月10日以降は、SSHに加えてVNCへのパケットも観測されたという。同団体は当該組織に対して観測データを提供しており、情報を提供したことで特徴的なパケット数は徐々に減少していったと報告している。
-
ある国内ホスティング事業者を送信元とした不審なパケットの推移 資料:JPCERT/CC
国内外の観測パケット数の変化としては、センサー1台が1日あたりに受信したパケット数の平均は、国内のセンサーよりも海外のセンサーで多くのパケットを観測したと説明している。
-
左から、国内センサーの平均パケット数、海外センサーの平均パケット数 資料:JPCERT/CC
インターネット上で通信されるパケットの動向を知ることは、サイバー攻撃をはじめとする不穏な動きを事前に把握することにつながる。今四半期のレポートでは特別な注意喚起などにつながる内容はなかったが、スキャナーの存在には注意が必要と伝えている。
