Copyright 2013 Cyber Force Center, NPA JAPAN
Copyright 2013 Cyber Force Center, NPA JAPAN
表5-3 日本国内からの跳ね返りパケット発信元ポート別検知件数(今期順位)
今期 前期
ポート 今期件数(注) 前期比(注)
順位 順位
1 位 1 位 80/TCP 16.10 件 -97.90% (-737.57 件)
2 位 3 位 3/ICMP 12.90 件 +2861.10% (+12.46 件)
3 位 11 位 3389/TCP 0.67 件 +1433.30% (+0.63 件)
4 位 9 位 22/TCP 0.36 件 +625.80% (+0.31 件)
5 位 2 位 11/ICMP 0.30 件 -56.90% (-0.39 件)
図5-7 日本国内からの跳ね返りパケットの推移
図5-8 日本国内からの跳ね返りパケットの推移
(6/19~6/22 の特定IP アドレスからの跳ね返りパケットを除いたもの)
注 : 一日当たり。
0 200 400 600 800 1,000 1,200 1,400 1,600
1月1日 1月15日 1月29日 2月12日 2月26日 3月11日 3月25日 4月8日 4月22日 5月6日 5月20日 6月3日 6月17日 7月1日 7月15日 7月29日 8月12日 8月26日 9月9日 9月23日 10月7日 10月21日 11月4日 11月18日 12月2日 12月16日 12月30日
(件/日)
80/TCP 3/ICMP 3389/TCP 22/TCP 11/ICMP その他
0 20 40 60 80 100 120 140 160 180 200
1月1日 1月15日 1月29日 2月12日 2月26日 3月11日 3月25日 4月8日 4月22日 5月6日 5月20日 6月3日 6月17日 7月1日 7月15日 7月29日 8月12日 8月26日 9月9日 9月23日 10月7日 10月21日 11月4日 11月18日 12月2日 12月16日 12月30日
(件/日)
3/ICMP 80/TCP 3389/TCP 22/TCP 11/ICMP その他
Copyright 2013 Cyber Force Center, NPA JAPAN 6
ボットネット観測状況
攻撃者が、不正プログラムに感染させ、自らの意のままに操ることのできる状態にし たコンピュータを「ボット」と呼びます。コンピュータをボット化する不正プログラムは、コ ンピュータ上で稼働している OS やアプリケーションの脆弱性を悪用するなどして、ネ ットワークを通じて、次々と他のコンピュータに感染を広げるものや、ウェブサイトやメ ールで、コンピュータをボット化する不正プログラムを実行させることにより感染させる ものがあります。多数のボット化したコンピュータがネットワークを形成したものを「ボッ トネット」と呼び、攻撃者からの指令によって、これらは一斉に操作できる状態になりま す。
ボットネットを操作する攻撃者は、攻撃者の命令を一斉にボットに伝達する「指令サ ーバ」と呼ばれるコンピュータに対して、攻撃の指令を出します。すると指令サーバは、
ボットネットを構成している各コンピュータに対して、攻撃者からの指令を伝えます。指 令サーバからの指令を受けた各コンピュータは、DDoS 攻撃、迷惑メールの送信や 感染したコンピュータからの情報窃取等、様々なサイバー攻撃活動に悪用されていま す(図6-1)。
警察庁では、ボットネット観測システムを運用し、ボットネットの実態把握に努めてい ます。この観測を通じ、日本国内にボットネットの指令サーバが所在することを認知し た場合は、指令サーバとして仕立てられたコンピュータの管理者の協力の下、指令サ ーバの停止等の措置を行っています。また、悪用されたコンピュータの解析を行い、
攻撃者及び手口に係る実態解明を進めるほか、コンピュータの管理者に対して再発 防止のための助言等を行うなどして、ボットネットを利用したサイバー犯罪やサイバー テロの未然防止及び被害拡大防止に努めています。
図6-1 ボットネットのイメージ
指令サーバ 攻撃者
個人ユーザの コンピュータ等 命令入力
命令をボットに 一斉伝達
DDoS攻撃
不正プログラム感染活動、
迷惑メール送信等 ボット
ボット化 ボット
ボット ボット
ボットネット
ウェブサーバ等
Copyright 2013 Cyber Force Center, NPA JAPAN