Distributed via 情報技術解析平成 24 年報平成 25 年 2 月警察庁情報通信局情報技術解析課

(1)

情報技術解析平成 24 年報

別

冊

_冊

資

_資

料

_料

インターネット観測結果等について

平成 25 年２月

警察庁情報通信局情報技術解析課

Distributed via http://www.npa.go.jp/cyberpolice/

(2)

Copyright 2013 Cyber Force Center, NPA JAPAN 別冊目次 1 概説 ... 3 2 インターネット定点観測－集計方法 ... 4 2.1 パケットの表記 ... 4 2.2 パケットの分類 ... 4 2.3 不正侵入等の検知 ... 5 3 インターネット定点観測－センサーに対するアクセス ... 6 3.1 宛先ポート別 ... 6 3.2 発信元国・地域別 ... 14 4 インターネット定点観測－不正侵入等の検知 ... 21 4.1 攻撃手法別 ... 21 4.2 発信元国・地域別 ... 28 5 インターネット定点観測－ DoS 攻撃被害観測状況 ... 34 5.1 世界のDoS 攻撃被害観測状況 ... 34 5.2 日本国内のDoS 攻撃被害観測状況 ... 37 6 ボットネット観測状況 ... 39 6.1 ボットネットの観測状況 ... 40 6.2 ボットネットの活動状況 ... 41 7 P2P 観測システム ... 46 8 付録平成 24 年度第 3／四半期データ ... 47 8.1 センサーに対するアクセス ... 47 8.2 不正侵入等の検知 ... 55 8.3 DoS 攻撃被害観測状況 ... 60 9 付録（Topics）掲載事項 ... 63

(3)

平成 24 年中のインターネット観測結果等について

1 概説

警察庁では、全国の警察施設のインターネット接続点にセンサーを設置し、インターネット定点観測システムを構築してアクセス情報等を観測・分析しています。平成 24 年（以下「今期」という。）のセンサーに対するアクセスを宛先ポート別に見ると、23 年（以下「前期」という。）と同様に、445/TCP に対するアクセスを最も多く検知しました。445/TCP に対するアクセスの多くは、Conficker ワームによるものとみられ、感染した多数のコンピュータが依然として稼働を続けていると考えられます。センサーに対するアクセスを発信元国・地域別（注１）_{に見ると、前期と同様に中国から} のアクセスを最も多く検知しました。中国からのアクセスの多くは、Microsoft SQL Server が稼働しているコンピュータの探索とみられる 1433/TCP に対するアクセスでした。1433/TCP に対するアクセスは、中国からのアクセス全体の３分の１以上を占めています。また、その多くは 6000/TCP を発信元ポートとしたアクセスであり、何らかのソフトウェアを使用した探索行為が行われているものと考えられます。シグネチャ（注２）_{を用いて検知した不正侵入等の行為（以下「不正侵入等」という。）の} 検知状況では、シグネチャ分類における「Scan」が増加しました。これは、プロキシサーバの探索と考えられるアクセスが、前期に比べ増加したためです。不正侵入等の検知状況を発信元国・地域別で見ると、中国からの検知件数が最も多く、そのうちプロキシサーバの探索と考えられるアクセスが検知件数全体の約７割を占めています。日本国内からの検知件数は、「Worm」に分類されるアクセスが検知件数全体の約７割を占めていることから、依然として多くのコンピュータがワームに感染していると考えられます。 DoS 攻撃被害観測状況では、ウェブサービスで用いられる 80/TCP からの跳ね返りパケットを最も多く検知しています。前期に比べ検知件数は減少しているものの依然としてウェブサービスが DoS 攻撃の対象の中心となっていると考えられます。また、７月以降は、ICMP Destination Unreachable（以下「3/ICMP」という。）のパケットを多く検知しました。このパケットは、発信元を詐称した BitTorrent の通信が多数行われていたことにより検知したと考えられます。注１：発信元国・地域別については、当該国・地域に割り当てられた IP アドレスを差している。以降同様の表記注２：あらかじめ登録しておいた攻撃や侵入の挙動パターンのこと。 Distributed via http://www.npa.go.jp/cyberpolice/

(4)

Copyright 2013 Cyber Force Center, NPA JAPAN ボットネット観測状況では、ボットネットによる攻撃命令の件数が増加しました。これは、特定のボットネットによる攻撃命令が、５月から６月にかけて集中して観測されたことが要因と考えられます。ボット観測数及びボットネットによる感染命令件数が前期と比べて大幅に増加するなど、ボットネットに関する活動が活発化していると考えられます。しかしながら、活動内容には前期との大きな差異は見られませんでした。

2 インターネット定点観測－集計方法

本年報では、各観測結果の集計を、次のとおり行いました。

2.1 パケットの表記

TCP 及び UDP はポートごとに集計し、スラッシュの前にポート番号を付けて表しています。（例「135/TCP」は、TCP の 135 番ポートを表します。） ICMP パケットについては、タイプごとに集計し、スラッシュの前にタイプ番号を付けて表しています。（例「8/ICMP」は、ICMP Echo Request を表します。）

2.2 パケットの分類

DoS 攻撃被害観測システムでは、SYN/ACK 及び RST/ACK パケットに加えて、 ICMP Echo Reply、ICMP Time Exceeded（以下それぞれ「0/ICMP」及び「11/ICMP」という。）及び 3/ICMP を集計対象としています。表２-１パケットの分類章集計対象 3 インターネット定点観測－センサーに対するアクセスセンサーに対するアクセス  TCP SYN パケット  UDP による問い合わせパケット等  8/ICMP 目的が不明なパケット  その他 5 インターネット定点観測－ DoS 攻撃被害観測状況 SYN flood 攻撃による跳ね返りパケット  TCP SYN/ACK  TCP RST/ACK PING flood 攻撃による跳ね返りパケット  0/ICMP 各種の flood 攻撃による跳ね返りパケット  3/ICMP  11/ICMP

(5)

2.3 不正侵入等の検知

各センサーには、平成 24 年 12 月末現在、シグネチャを 3,250 種類登録しており、随時更新しています。各シグネチャによる検知は、表２-２に示す分類に従って集計しています。表２-２攻撃手法の分類と代表的なシグネチャ分類代表的なシグネチャ

Worm SQL Slammer, Nachi, Conficker P2P Scan Proxy port probe, Port scan, TCP ACK ping Scan（P2P） BitTorrent DHT peer-to-peer, BitTorrent probe VoIP SIP message detected, SIP long host name detected UDP spam MSRPC Popup Message

DoS Windows Trin00 DDoS, ICMP Echo Reply without Echo

DNS DNS request made for all records, DNS port probe, DNS dot query detected ICMP ICMP time stamp request

(6)

3 インターネット定点観測－センサーに対するアクセス

センサーに対する今期のアクセス件数は、一日・1IP アドレス当たり 269.7 件で、前期と比較して 16.8 件（6.6%）増加しています（図３-１）。図３-１センサーに対するアクセス件数の推移（平成 20 年～24 年）

3.1 宛先ポート別

アクセス件数が最も多かった宛先ポートは、前期と同様に 445/TCP でした。 445/TCP に対するアクセスは、Conficker ワームが悪用する脆弱性（MS08-067）が公開された翌月である平成 20 年 11 月から今期末に至るまで、常に高い水準で観測しています。前期に引き続き、今期においても徐々に減少していますが、Conficker ワームに感染した多数のコンピュータが、依然として稼働を続けていると推測されます（図３-５）。２位の 1433/TCP に対するアクセスは、Microsoft SQL Server が稼働しているコンピュータの探索行為と考えられます。前期に引き続き、中国からの 6000/TCP を発信元ポートとするアクセスが多数を占めています。特に９月中旬と 10 月には、中国の特定の発信元 IP アドレスからのアクセスを多数観測しました（図３-６）。３位の 3389/TCP に対するアクセスは、リモートデスクトップ接続が可能な Microsoft Windows コンピュータの探索行為と考えられます。アクセスの多くは、この機能を悪用してコンピュータを乗っ取る試みや、マルウェア「Morto」の活動である可能性があります（注）_{。3389/TCP に対するアクセスは増加順位では１位となっており、} 前期と比較して約 2.7 倍のアクセス件数となっています（表３-２、図３-７）。４位の 8/ICMP は、Ping 等のネットワーク調査で使用されますが、攻撃対象となりう注：「情報技術解析平成 24 年報」の「５リモートデスクトップを狙ったアクセスの増加」参照 310.5 339.0 316.3 252.9 269.7 0 100 200 300 400 H20 H21 H22 H23 H24 (件/日・IPアドレス) （年）

(7)

Copyright 2013 Cyber Force Center, NPA JAPAN るコンピュータの探索やワームの感染対象の探索にも悪用される可能性があります。３月から６月の間には、米国及び日本の特定の発信元 IP アドレスからのアクセスを大量に観測しました（図３-８）。この IP アドレスは、米国の研究機関が実施している研究プロジェクトで使用されており、学術目的の調査活動を実施しているものと考えられます。この IP アドレスからのアクセスを除外すると、今期はアクセス件数が緩やかな減少傾向にありました（図３-９）。宛先ポート別検知件数が５位の 22/TCP は、コマンドラインでの遠隔制御を可能にする SSH サービスで使用されるポートです。SSH サービスはコンピュータに留まらず、ネットワーク機器等、多くの製品で利用されているため、これらの製品の脆弱性や、利用者の設定の不備を狙っている可能性もあります（注）_{（図３-10）。} 増加順位が３位の 23/TCP も、22/TCP と同様にコマンドラインでの遠隔制御を可能にする Telnet サービスで使用されるポートです。Telnet サービスについても、ネットワーク機器等の製品で利用されることがあります。このため、このポートに対するアクセスも SSH サービスと同様に、この種の製品を狙った攻撃を含んでいる可能性が考えられます。今期は中国、台湾及び韓国からのアクセスが多数を占めました。これは前期までには見られなかった特徴です（注）_{（図３-11）。} 増加順位が４位の 557/UDP 及び５位の 2330/UDP は、通常はアクセス件数が非常に少ないポートですが、今期はごく短期間に多数のアクセスを観測しました。このアクセスは、ほぼ全てが中国からのものでしたが、その目的については判明していません（図３-12、図３-13）。注：「情報技術解析平成 24 年報」の「５リモートデスクトップを狙ったアクセスの増加」参照

(8)

Copyright 2013 Cyber Force Center, NPA JAPAN 表３-１宛先ポート別検知件数（今期順位）今期前期ポート今期件数（注１） _前期比（注１）順位順位 1 位 1 位 445/TCP 79.07 件－35.0% （－42.62 件） 2 位 2 位 1433/TCP 42.90 件＋25.2% （＋8.63 件） 3 位 6 位 3389/TCP 15.57 件＋173.8% （＋9.88 件） 4 位 3 位 8/ICMP 12.27 件－7.6% （－1.01 件） 5 位 5 位 22/TCP 10.02 件－1.3% （－0.13 件）表３-２宛先ポート別検知件数（増加順位）増加ポート今期件数（注１） _前期比（注１）今期前期順位順位順位 1 位 3389/TCP 15.57 件＋173.8% （＋9.88 件） 3 位 6 位 2 位 1433/TCP 42.90 件＋25.2% （＋8.63 件） 2 位 2 位 3 位 23/TCP 9.99 件＋249.6% （＋7.13 件） 6 位 10 位 4 位 557/UDP 6.66 件 - （注２） _{（＋6.66 件）} _{7 位} _-（注２） 5 位 2330/UDP 3.50 件 - （注２） _{（＋3.50 件）} _{12 位} _-（注２）表３-３宛先ポート別検知件数（減少順位）減少ポート今期件数（注１） _前期比（注１）今期前期順位順位順位 1 位 445/TCP 79.07 件－35.0% （－42.62 件） 1 位 1 位 2 位 9415/TCP 0.79 件－85.5% （－4.66 件） 30 位 7 位 3 位 135/TCP 6.23 件－40.6% （－4.26 件） 9 位 4 位 4 位 139/TCP 0.89 件－54.3% （－1.06 件） 29 位 15 位 5 位 8/ICMP 12.27 件－7.6% （－1.01 件） 4 位 3 位注１：一日・1IP アドレス当たり。注２：前期の検知件数がごく僅かであったため、記載していません。

(9)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-２宛先ポート別比率（すべて）（注１） _{図３-３宛先ポート別比率（日本国内）}（注1、２）図３-４宛先ポート別上位の発信元国・地域別比率注１：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。注２：発信元国・地域が日本国内からのアクセスのみ集計しました。 29.3% 15.9% 5.8% 4.5% 3.7% 3.7% 2.5% 2.4% 2.3% 1.9% 28.0% 445/TCP 1433/TCP 3389/TCP 8/ICMP 22/TCP 23/TCP 557/UDP 3306/TCP 135/TCP 80/TCP その他 37.2% 18.3% 14.3% 1.2% 1.1% 27.9% 445/TCP 135/TCP 8/ICMP 4899/TCP 3389/TCP その他 0% 20% 40% 60% 80% 100% 445/TCP 1433/TCP 3389/TCP 8/ICMP 22/TCP 23/TCP 557/UDP 3306/TCP 135/TCP 80/TCP 中国米国台湾日本ロシアその他・不明

(10)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-５宛先ポート 445/TCP に対するアクセス件数の推移図３-６宛先ポート 1433/TCP に対するアクセス件数の推移図３-７宛先ポート 3389/TCP に対するアクセス件数の推移 0 20 40 60 80 100 120 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 米国台湾ロシアブラジル日本その他・不明 0 10 20 30 40 50 60 70 80 90 100 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 中国米国韓国ベトナム香港その他・不明 0 5 10 15 20 25 30 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 中国米国韓国ブラジルトルコその他・不明

(11)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-８ 8/ICMP のアクセス件数の推移図３-９ 8/ICMP のアクセス件数の推移（研究機関が保有する特定の発信元 IP アドレスからのアクセスを除く） 0 5 10 15 20 25 30 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 米国日本中国韓国ロシアその他・不明 0 5 10 15 20 25 30 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 米国中国日本韓国ロシアその他・不明

(12)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-10 宛先ポート 22/TCP に対するアクセス件数の推移図３-11 宛先ポート 23/TCP に対するアクセス件数の推移 0 2 4 6 8 10 12 14 16 18 20 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 中国米国韓国インドカナダその他・不明 0 10 20 30 40 50 60 70 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 中国台湾韓国インドトルコその他・不明

(13)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-12 宛先ポート 557/UDP に対するアクセス件数の推移（注）図３-13 宛先ポート 2330/TCP に対するアクセス件数の推移（注）注：イラン及びオランダからのアクセスは、検知件数が僅かであるため、グラフには表示されていません。 0 100 200 300 400 500 600 700 800 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 中国イラン 0 200 400 600 800 1,000 1,200 1,400 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21日 11月 4日 11月 18日 12月 2日 12月 16日 12月 30日 (件/日・IPアドレス) 中国オランダ

(14)

3.2 発信元国・地域別

最もアクセス件数が多かった国・地域は、前期と同様に中国でした。その宛先ポートの多くを 1433/TCP が占めており、中国からのアクセス全体の３分の１以上を占めています（図３-15）。1433/TCP に対するアクセスの多くは、6000/TCP を発信元ポートとしたアクセスですが、この発信元ポートは MySQL で使用される 3306/TCP や 3389/TCP に対するアクセスにおいても多数観測されています。このため、複数の宛先ポートに対して何らかのソフトウェアを使用した探索行為が行われているものと考えられます。また中国からは、通常はアクセス件数が非常に少ない 557/UDP や 2330/UDP 等の数種類の UDP ポートについて、ごく短期間に多数のアクセスを観測しました（図３-16）。２位の米国からのアクセスでは、11 月と 12 月上旬に特定の企業が管理する複数の発信元 IP アドレスから、53/UDP を発信元ポートとしたアクセスを多数観測しました。到達したパケットの内容は DNS サーバからの応答であるため、何者かが発信元 IP アドレスを詐称して、この企業が管理する DNS サーバへ大量の問い合わせを実施したものと考えられます。また、この企業が管理する IP アドレスからは５月と６月下旬にも、 80/TCP、15338/TCP 及び 15888/TCP を発信元ポートとする通常のアクセスとは異なるパケット（ACK パケット）を観測しています（図３-18）。３位の台湾からのアクセスでは、445/TCP 以外に、23/TCP やメール配送を行う SMTP サービスで使用される 25/TCP に対するアクセスが多いのが特徴です。特に台湾からの 23/TCP に対するアクセス件数は、前期と比較すると約 33 倍と大きく増加しています。また 25/TCP に対するアクセス件数については前期と比較すると減少しているものの、スパムメールの送信に悪用する目的で、オープンリレーメールサーバの探索が今期においても継続していると考えられます（図３-21）。４位の日本からのアクセスでは、445/TCP と Microsoft Windows コンピュータへのワームやボットの感染活動に悪用される 135/TCP に対するアクセスが全体の半分以上を占めています。しかしながら、いずれの宛先ポートへのアクセス件数も前期と比較すると大きく減少しており、これらのポートを悪用する感染活動は減少していると考えられます（図３-23）。５位のロシアからのアクセスでは、445/TCP に対するアクセスが全体の６割近くを占めていますが、前期に引き続き減少傾向にあります（図３-24）。また、５月から６月にかけてロシア、７月下旬には台湾及び日本の複数の発信元 IP アドレスから、不特定の UDP ポートへのアクセスを多数観測しました（図３-24、図３ -20、図３-22）。到達したパケットの大多数に、特定の P2P ファイル共有ソフトで利用

(15)

Copyright 2013 Cyber Force Center, NPA JAPAN される通信（注１）_{に類似した特徴が見られたことから、何らかの理由で P2P ファイル共} 有ネットワークの通信がセンサーに到達した可能性が考えられます。表３-４発信元国・地域別検知件数（今期順位）今期前期国・地域今期件数（注２） _前期比（注２）順位順位 1 位 1 位中国 109.93 件＋62.8% （＋42.39 件） 2 位 2 位米国 31.03 件－5.8% （－1.92 件） 3 位 4 位台湾 12.32 件－13.2% （－1.88 件） 4 位 3 位日本 10.39 件－58.9% （－14.86 件） 5 位 5 位ロシア 9.40 件－19.3% （－2.24 件）表３-５発信元国・地域別検知件数（増加順位）増加国・地域今期件数（注２） _前期比（注２）今期前期順位順位順位 1 位中国 109.93 件＋62.8% （＋42.39 件） 1 位 1 位 2 位韓国 9.25 件＋38.7% （＋2.58 件） 6 位 7 位 3 位イラン 2.89 件＋68.1% （＋1.17 件） 13 位 25 位 4 位ルーマニア 3.93 件＋26.5% （＋0.82 件） 9 位 13 位 5 位香港 2.81 件＋37.8% （＋0.77 件） 15 位 23 位表３-６発信元国・地域別検知件数（減少順位）減少国・地域今期件数（注２） _前期比（注２）今期前期順位順位順位 1 位日本 10.39 件－58.9% （－14.86 件） 4 位 3 位 2 位ロシア 9.40 件－19.3% （－2.24 件） 5 位 5 位 3 位欧州連合 1.08 件－64.1% （－1.93 件） 31 位 15 位 4 位米国 31.03 件－5.8% （－1.92 件） 2 位 2 位 5 位台湾 12.32 件－13.2% （－1.88 件） 3 位 4 位

注１：「µTorrent」等の P2P ファイル共有ソフトで利用される Micro Transport Protocol （µTP）注２：一日・1IP アドレス当たり。

(16)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-14 発信元国・地域別比率（注）図３-15 発信元国・地域別上位のポート別比率注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。 40.8% 11.5% 4.6% 3.9% 3.5% 3.4% 2.7% 1.9% 1.5%1.4% 24.9% 中国米国台湾日本ロシア韓国ブラジルインドルーマニアドイツその他・不明 0% 20% 40% 60% 80% 100% 中国米国台湾日本ロシア韓国ブラジルインドルーマニアドイツ 445/TCP 1433/TCP 3389/TCP 8/ICMP 22/TCP 23/TCP 557/UDP 3306/TCP 135/TCP その他

(17)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-16 中国からのアクセス件数の推移図３-17 中国からのアクセス件数の推移（557/UDP、2330/UDP 及びその他を除く） 0 200 400 600 800 1,000 1,200 1,400 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21日 11月 4日 11月 18日 12月 2日 12月 16日 12月 30日 (件/日・IPアドレス) 1433/TCP 3389/TCP 557/UDP 3306/TCP 22/TCP 2330/UDP 445/TCP その他 0 20 40 60 80 100 120 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 1433/TCP 3389/TCP 3306/TCP 22/TCP 445/TCP

(18)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-18 米国からのアクセス件数の推移図３-19 米国からのアクセス件数の推移（その他を除く） 0 10 20 30 40 50 60 70 80 90 100 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 445/TCP 8/ICMP 1433/TCP 3389/TCP 80/TCP その他 0 5 10 15 20 25 30 35 40 45 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 445/TCP 8/ICMP 1433/TCP 3389/TCP 80/TCP

(19)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-20 台湾からのアクセス件数の推移図３-21 台湾からのアクセス件数の推移（その他を除く） 0 10 20 30 40 50 60 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 445/TCP 23/TCP 25/TCP 135/TCP 3389/TCP その他 0 5 10 15 20 25 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 445/TCP 23/TCP 25/TCP 135/TCP 3389/TCP

(20)

Copyright 2013 Cyber Force Center, NPA JAPAN 図３-22 日本からのアクセス件数の推移図３-23 日本からのアクセス件数の推移（その他を除く）図３-24 ロシアからのアクセス件数の推移 0 20 40 60 80 100 120 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 445/TCP 135/TCP 8/ICMP 4899/TCP 3389/TCP その他 0 2 4 6 8 10 12 14 16 18 20 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 445/TCP 135/TCP 8/ICMP 4899/TCP 3389/TCP 0 2 4 6 8 10 12 14 16 18 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 445/TCP 8/ICMP 3389/TCP 22/TCP 25/TCP その他

(21)

4 インターネット定点観測－不正侵入等の検知

平成 24 年のシグネチャによる検知件数は、一日・1IP アドレス当たり 8.5 件で、前期と比較して 1.9 件（29.7%）増加しました。この主な原因は、「Scan」に分類されるプロキシサーバの探索と考えられるアクセスが増加したためです（図４-１）。図４-１不正侵入等の検知件数の推移（平成 20 年～24 年）(注)

4.1 攻撃手法別

最も多く検知したものは、前期に引き続き、「Scan」に分類されるもので、一日・1IP アドレス当たり 3.74 件で、前期と比較して 1.40 件（59.9%）増加しました。「Scan」全体の約９割がプロキシサーバの探索と考えられるアクセスで、中国からのアクセスが約半数を占めていました。また、４月から７月にかけて一時的に増加していましたが、９月以降は減少傾向にあります（図４-５）。「VoIP」に分類されるものは、VoIP/SIP 機器の探索と考えられるアクセスですが、一日・1IP アドレス当たり 2.41 件で、前期と比較してほぼ横ばいで推移していました。発信元国・地域別で見ると、米国からのアクセスが約半数を占めており、増加傾向にあります（図４-６）。「Worm」に分類されるものとしては、Nachi 及び SQL Slammer を検知しています（図４ -７）。検知件数は、一日・1IP アドレス当たり 1.25 件で、前期と比較してほぼ横ばいで推移していました。Nachi ワームは、年間を通して検知しており、今期は、8,043 個の IP アドレスから検知しました。一方、SQL Slammer ワームは、特定の IP アドレスから短期間に集中して検知することが多く、今期は中国、米国、韓国等に割り当てられた IP アドレスから検知しました（図４-８）。また、SQL Slammer ワームは、断続的に 700 個の IP ア注：平成 21 年３月にシステムを更新し、シグネチャを追加したことにより、より詳細な分析が可能になりました。 9.3 15.3 14.1 6.5 8.5 0 4 8 12 16 20 H20 H21 H22 H23 H24 (件/日・IPアドレス)

Worm Scan VoIP Scan(P2P) UDP spam DNS その他 (年)

(22)

Copyright 2013 Cyber Force Center, NPA JAPAN ドレスから検知しました。いずれも平成 15 年に猛威を振るった Microsoft Windows の脆弱性を利用したワームであり、年々減少しているものの、依然としてこれらのワームに感染しているコンピュータが多く存在していると考えられます（図４-９、図４-10）。「DNS」に分類されるものは、前期はほとんど検知していませんでしたが、今期は一日・1IP アドレス当たり 0.54 件でした。これは、８月にオランダを発信元とする特定の IP アドレスからのアクセス、10 月にはカナダを発信元とする特定の IP アドレスからのアクセスが一時的に増加したためです。これらのアクセスは、DNS サーバの稼働状況やネットワークに関する調査を目的とするアクセスと考えられます（図４-11）。「Scan(P2P)」に分類されるものは、一日・1IP アドレス当たり 0.46 件で、前期と比較してほぼ横ばいで推移していました。12 月初旬には、米国をはじめ数カ国からファイル共有ソフト BitTorrent の稼働状況を確認するものと考えられるアクセスが一時的に増加しました（図４-12）。表４-１不正侵入等の攻撃手法別検知件数今期前期攻撃手法今期件数（注） _前期比（注）増加減少順位順位順位順位 1 位 1 位 Scan 3.74 件＋59.9% （＋1.40 件） 1 位 2 位 2 位 VoIP 2.41 件＋11.6% （＋0.25 件） 3 位 3 位 3 位 Worm 1.25 件－14.2% （－0.21 件） 1 位 4 位 5 位 DNS 0.54 件＋924.1% （＋0.49 件） 2 位 5 位 4 位 Scan(P2P) 0.46 件－7.7% （－0.04 件） 2 位図４-２不正侵入等の攻撃手法別検知件数の推移注：一日・1IP アドレス当たり。 0 5 10 15 20 25 1月 1日 1月 15 日 1月 29 日 2月 12 日 2月 26 日 3月 11 日 3月 25 日 4月 8日 4月 22 日 5月 6日 5月 20 日 6月 3日 6月 17 日 7月 1日 7月 15 日 7月 29 日 8月 12 日 8月 26 日 9月 9日 9月 23 日 10 月 7 日 10月 21日 11 月 4 日 11月 18日 12 月 2 日 12月 16日 12月 30日 (件/日・IPアドレス)

(23)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-３不正侵入等の攻撃手法別検知比率（注）図４-４不正侵入等の攻撃手法の発信元国・地域別検知比率注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。 44.1% 28.5% 14.7% 6.4% 5.4% 0.9% Scan VoIP Worm DNS Scan(P2P) その他 0% 20% 40% 60% 80% 100% Scan VoIP Worm DNS Scan(P2P) その他中国米国ドイツオランダ韓国英国インドその他・不明

(24)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-５プロキシサーバの探索と考えられるアクセスの検知件数の推移図４-６攻撃手法「VoIP」の検知結果の推移 0 1 2 3 4 5 6 7 8 9 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 中国米国インド台湾ブラジルその他・不明 0 1 2 3 4 5 6 7 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 米国ドイツ中国英国オランダその他・不明

(25)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-７攻撃手法「Worm」の検知件数の推移図４-８ SQL Slammer の国別検知件数の推移 0 0.5 1 1.5 2 2.5 3 3.5 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) Nachiワーム SQL Slammerワーム 0 0.5 1 1.5 2 2.5 3 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 中国米国韓国インド台湾その他・不明

(26)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-９ Nachi ワームの検知件数（IP アドレス数）図４-10 SQL Slammer ワームの検知件数（IP アドレス数） 16,755 12,538 8,043 0 2,000 4,000 6,000 8,000 10,000 12,000 14,000 16,000 18,000 平成22年平成23年平成24年 IP アドレス数 3,832 1,131 700 0 500 1,000 1,500 2,000 2,500 3,000 3,500 4,000 4,500 平成22年平成23年平成24年 IP アドレス数

(27)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-11 攻撃手法「DNS」の国別検知件数の推移図４-12 BitTorrent の稼働状況確認のアクセスと考えられる検知件数の推移 0 2 4 6 8 10 12 14 16 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) オランダ米国カナダフランス中国その他・不明 0 1 2 3 4 5 6 7 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス) 米国ロシア韓国カナダ英国その他・不明

(28)

4.2 発信元国・地域別

中国からのシグネチャによる検知件数は、一日・1IP アドレス当たり 2.52 件で、前期と比較して、0.67 件（36.3%）増加しました。プロキシサーバの探索行為と思われるアクセス（「Scan」に分類）が検知件数全体の約７割を占めていました。「Worm」に分類されるものでは、１月から３月までの間、特定の IP アドレスから SQL Slammer ワームを検知しました。この IP アドレスからは、４月以降は検知していませんが、６月以降には別の IP アドレスから検知していることから、SQL Slammer ワームに感染しているコンピュータは依然として多数存在すると考えられます（図４-16）。米国からの検知件数は、一日・1IP アドレス当たり 2.25 件で、前期と比較して、0.57 件（33.7%）増加しました。これは、VoIP/SIP 機器の探索と考えられるアクセス（「VoIP」に分類）が増加したためですが、前期に引き続き、検知件数全体の約半数を占めていました（図４-17）。ドイツからの検知件数は、一日・1IP アドレス当たり 0.43 件で、前期と比較して 0.16 件（62.8%）増加しました。VoIP/SIP 機器の探索と考えられるアクセス（「VoIP」に分類）が検知件数全体の約８割を占めており、11 月以降増加傾向にあります（図４-18）。オランダからの検知件数は、一日・1IP アドレス当たり 0.38 件で、前期と比較して 0.30 件（359.3%）増加しました。これは、８月に複数の IP アドレスから DNS を使用した探索と考えられるアクセスが一時的に増加したためです。（図４-19）。韓国からの検知件数は、一日・1IP アドレス当たり 0.24 件で、前期と比較して 0.03 件（13.8%）増加しています。１月及び 11 月に、ファイル共有ソフト BitTorrent の稼働状況を確認するものと考えられるアクセス（「Scan(P2P)」に分類）が増加しました。また、９月から 10 月上旬にかけて、特定の IP アドレスから SQL Slammer ワームを検知しています（図４-20）。日本からの検知件数は、一日・1IP アドレス当たり 0.16 件で、前期と比較して 0.03 件（16.6%）減少しました。「Worm」に分類されるアクセスは、減少したものの、検知件数全体の約７割を占め、依然として多くのワームが活動していると考えられます（図４-21）。

(29)

Copyright 2013 Cyber Force Center, NPA JAPAN 表４-２不正侵入等の発信元国・地域別検知件数（今期順位）今期前期国・地域今期件数（注） _前期比（注）順位順位 1 位 1 位中国 2.52 件＋36.3% （＋0.67 件） 2 位 2 位米国 2.25 件＋33.7% （＋0.57 件） 3 位 4 位ドイツ 0.43 件＋62.8% （＋0.16 件） 4 位 12 位オランダ 0.38 件＋359.3% （＋0.30 件） 5 位 5 位韓国 0.24 件＋13.8% （＋0.03 件）表４-３不正侵入等の発信元国・地域別検知件数（増加順位）増加国・地域今期件数（注） _前期比（注）今期前期順位順位順位 1 位中国 2.52 件＋36.3% （＋0.67 件） 1 位 1 位 2 位米国 2.25 件＋33.7% （＋0.57 件） 2 位 2 位 3 位オランダ 0.38 件＋359.3% （＋0.30 件） 4 位 12 位 4 位ドイツ 0.43 件＋62.8% （＋0.16 件） 3 位 4 位 5 位インド 0.18 件＋165.5% （＋0.11 件） 7 位 16 位表４-４不正侵入等の発信元国・地域別検知件数（減少順位）減少国・地域今期件数（注） _前期比（注）今期前期順位順位順位 1 位台湾 0.18 件－71.1% （－0.44 件） 8 位 3 位 2 位欧州連合 0.05 件－66.8% （－0.10 件） 18 位 8 位 3 位日本 0.16 件－16.6% （－0.03 件） 11 位 6 位 4 位香港 0.06 件－32.6% （－0.03 件） 17 位 11 位 5 位チェコ 0.02 件－42.2% （－0.01 件） 35 位 20 位注：一日・1IP アドレス当たり。

(30)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-13 不正侵入等の発信元国・地域別検知件数の推移図４-14 不正侵入等の発信元国・地域別検知比率（注）注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。 0 5 10 15 20 25 1月 1日 1月 15 日 1月 29 日 2月 12 日 2月 26 日 3月 11 日 3月 25 日 4月 8日 4月 22 日 5月 6日 5月 20 日 6月 3日 6月 17 日 7月 1日 7月 15 日 7月 29 日 8月 12 日 8月 26 日 9月 9日 9月 23 日 10 月 7 日 10月 21日 11 月 4 日 11月 18日 12 月 2 日 12月 16日 12月 30日 (件/日・IPアドレス) 中国米国ドイツオランダ韓国その他・不明 29.7% 26.6% 5.0% 4.5% 2.8% 2.4% 2.1% 26.7% 中国米国ドイツオランダ韓国英国インドその他・不明

(31)

Scan VoIP Worm DNS Scan(P2P) その他

0 1 2 3 4 5 6 7 8 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス)

(32)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-17 米国からのアクセス件数の推移図４-18 ドイツからのアクセス件数の推移図４-19 オランダからのアクセス件数の推移 0 1 2 3 4 5 6 7 8 9 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス)

VoIP Scan Worm DNS Scan(P2P) その他

0 0.5 1 1.5 2 2.5 3 3.5 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス)

VoIP Scan Worm DNS Scan(P2P) その他

0 1 2 3 4 5 6 7 8 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス)

(33)

Copyright 2013 Cyber Force Center, NPA JAPAN 図４-20 韓国からのアクセス件数の推移図４-21 日本からのアクセス件数の推移 0 0.2 0.4 0.6 0.8 1 1.2 1.4 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス)

Scan Scan(P2P) Worm VoIP DNS その他

0 0.1 0.2 0.3 0.4 0.5 0.6 0.7 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日・IPアドレス)

(34)

5 インターネット定点観測－ DoS 攻撃被害観測状況

警察庁では、DoS 攻撃被害観測システムにより DoS 攻撃の状況について観測を行っています。 DoS 攻撃では、標的となるサーバ（被害サーバ）の機能を停止させるため、大量のパケットを送信します。この際、攻撃元の特定を困難にするために、発信元 IP アドレスを不特定多数に詐称することが多く、被害サーバはこの詐称された IP アドレスに向けて応答パケットを返信しますが、当該通信に関与していないコンピュータにパケットは到達することになります。この応答パケットを「跳ね返りパケット」（注１）_{と呼んでいます。こ} の跳ね返りパケットを観測することで、被害を受けているサーバの IP アドレスとサービス（注２）_{を知ることができます。} 平成 24 年に確認された DDoS 攻撃の事例では、攻撃目標の指定とともに配布されたソフトウェアによる DDoS 攻撃が多く行われたと考えられますが、これらの攻撃は、IP アドレスを詐称した攻撃ではないため、跳ね返りパケットがセンサーに到達することはありません（注３）_{。しかし、多くの跳ね返りパケットを未だ検知しており、IP アドレスを詐称} した従来の手法による DoS 攻撃も活発に行われていると考えられます。本章では、DoS 攻撃被害観測システムで集計対象とするパケットとして、SYN/ACK 及び RST/ACK パケットに加えて、Ping flood 攻撃の跳ね返りパケットとして観測される 0/ICMP、各種の flood 攻撃によってネットワーク機器から通知される 3/ICMP 及び 11/ICMP についても DoS 攻撃被害の観測対象としています（表２-１）。

5.1 世界の DoS 攻撃被害観測状況

跳ね返りパケットの総検知件数は、一日当たり 6,827.0 件で、前期と比較して 15,575.1 件（69.5%）減少しました。また、発信元 IP アドレス数は一日当たり 431.3 個で、前期と比較して 219.6 個（103.8.%）増加しています。発信元ポート別では、80/TCP が最も多く検知されており、検知件数は減少しているものの依然としてウェブサーバが DoS 攻撃の対象の中心となっていると考えられます（図５-１、表５-１）。発信元国・地域別では、米国及び中国が大半を占めています（図５-２）。発信元ポートを 80/TCP とする跳ね返りパケットの検知件数は、一日当たり 4,211.3 件で、前期と比較して 11,588.3 件（73.3%）減少しました。また、発信元 IP アドレス数は一日当たり 173.6 個で、前期と比較して 63.0 個（57.0%）増加しています。米国及び中国のウェブサーバが攻撃対象となっていますが、その検知件数は前期と比較して大幅注１：「跳ね返りパケット」は、「Backscatter」と呼ばれることもあります。注２：あるコンピュータから別のコンピュータに特定の機能を提供すること。例えばウェブサービスは、ウェブサイトを構築してウェブページを閲覧させる機能を提供する。注３：「情報技術解析平成 24 年報」の「４ DDoS 攻撃等」参照

(35)

Copyright 2013 Cyber Force Center, NPA JAPAN に減少しています（表５-２）。10 月 24 日及び 25 日の２日間に、中国に割り当てられた同一ネットワーク上にある特定の複数 IP アドレスからの 80/TCP を発信元とする跳ね返りパケットを多数検知しています（図５-４、図５-５）。発信元ポートを 443/TCP とする跳ね返りパケットは、HTTPS で接続可能なウェブサービスを対象とした攻撃による跳ね返りパケットと考えられます。このパケットの大半は、 10 月 24 日及び 25 日の中国からの 80/TCP からの跳ね返りパケットと同じ IP アドレスから検知しており、80/TCP と 443/TCP を同時に攻撃対象としていたと考えられます。 3/ICMP のパケットは、宛先ホストに到達しなかったために発信元のホストに返されるパケットであり、このパケットの検知は、発信元を詐称した何らかのパケットが送信されたことを示しています。７月以降は、BitTorrent の通信と考えられるパケットを多く検知しました。発信元を詐称した BitTorrent の通信が多数行われていたと考えられます。図５-１跳ね返りパケット発信元ポート別比率（注１）図５-２跳ね返りパケット発信元国・地域別比率（注１）表５-１跳ね返りパケット発信元ポート別検知件数（今期順位）今期前期ポート今期件数（注２） _前期比（注２）順位順位 1 位 1 位 80/TCP 4,211.34 件－73.3% （－11,588.31 件） 2 位 6 位 3/ICMP 571.77 件＋315.2% （＋434.07 件） 3 位 17 位 443/TCP 214.15 件＋432.0% （＋173.90 件） 4 位 14 位 11/ICMP 206.05 件＋366.1% （＋161.85 件） 5 位 34 位 22/TCP 117.25 件＋425.6% （＋94.94 件）注１：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。注２：一日当たり。 61.7% 8.4% 3.1% 3.0% 1.7% 22.1% 80/TCP 3/ICMP 443/TCP 11/ICMP 22/TCP その他 40.7% 25.7% 4.3% 4.3% 2.9% 22.1% 米国中国オランダドイツフランスその他・不明

(36)

Copyright 2013 Cyber Force Center, NPA JAPAN 表５-２ 80/TCP からの跳ね返りパケット発信元国・地域別検知件数（今期順位）今期前期国・地域今期件数（注） _前期比（注）順位順位 1 位 2 位米国 1,812.93 件－47.0% （－1,610.28 件） 2 位 1 位中国 1,100.74 件－89.3% （－9,200.00 件） 3 位 11 位オランダ 207.71 件＋290.6% （＋154.53 件） 4 位 10 位ドイツ 156.79 件＋161.6% （＋96.86 件） 5 位 5 位トルコ 112.80 件－36.8% （－65.66 件）図５-４発信元ポート 80/TCP からの跳ね返りパケットの推移図５-５発信元ポート 80/TCP からの跳ね返りパケットの推移（10/24～10/25 の特定 IP アドレスからの跳ね返りパケットを除いたもの）注：一日当たり。 0 10,000 20,000 30,000 40,000 50,000 60,000 70,000 80,000 90,000 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21日 11月 4日 11月 18日 12月 2日 12月 16日 12月 30日 (件/日) 米国中国オランダドイツトルコその他・不明 0 2,000 4,000 6,000 8,000 10,000 12,000 14,000 16,000 18,000 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21日 11月 4日 11月 18日 12月 2日 12月 16日 12月 30日 (件/日) 米国中国オランダドイツトルコその他・不明

(37)

5.2 日本国内の DoS 攻撃被害観測状況

日本国内を発信元とする跳ね返りパケットの検知件数は、一日当たり 30.9 件で、前期と比較して 724.7 件（95.9%）減少しました。これは、前期に特定の IP アドレスから多くの跳ね返りパケットを観測しており、今期は、これらの跳ね返りパケットが見られなかったことが原因です。また、発信元 IP アドレス数は、一日当たり 7.4 個で、前期と比較して 5.9 個（398.8%）増加しています。発信元ポート別では、80/TCP と 3/ICMP が大半を占めました（図５-６、表５-３）。 80/TCP からの跳ね返りパケットの検知件数は、一日当たり 16.1 件で、前期と比較して 737.6 件（97.9%）減少しています。また、発信元 IP アドレス数は、一日当たり 0.7 個で、前期と比較して 0.4 個（36.6%）減少しました。検知した 80/TCP からの跳ね返りパケットのうち、６月 19 日から 22 日までの間に検知した ISP 事業者が所有する特定 IP アドレスからの跳ね返りパケットが、全体の 67.5%を占めていました。この事業者もしくは、この事業者が提供するサービスの利用者のウェブサイトに対して、DoS 攻撃が行われていた可能性があります（図５-７）。 3/ICMP の検知件数は、一日当たり 12.9 件で、前期と比較して約 30 倍に増加しています。また、発信元 IP アドレス数は、一日当たり 6.3 個で、前期と比較して約 150 倍に増加しました。日本以外でも多く見られた７月以降の BitTorrent の通信が大半を占めていました（図５-８）。図５-６日本国内からの跳ね返りパケット発信元ポート別比率（注）注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。 52.1% 41.7% 2.2% 1.2% 1.0% _1.9% 80/TCP 3/ICMP 3389/TCP 22/TCP 11/ICMP その他

(38)

Copyright 2013 Cyber Force Center, NPA JAPAN 表５-３日本国内からの跳ね返りパケット発信元ポート別検知件数（今期順位）今期前期ポート今期件数（注） _前期比（注）順位順位 1 位 1 位 80/TCP 16.10 件－97.90% （－737.57 件） 2 位 3 位 3/ICMP 12.90 件＋2861.10% （＋12.46 件） 3 位 11 位 3389/TCP 0.67 件＋1433.30% （＋0.63 件） 4 位 9 位 22/TCP 0.36 件＋625.80% （＋0.31 件） 5 位 2 位 11/ICMP 0.30 件 -56.90% （－0.39 件）図５-７日本国内からの跳ね返りパケットの推移図５-８日本国内からの跳ね返りパケットの推移（6/19～6/22 の特定IP アドレスからの跳ね返りパケットを除いたもの）注：一日当たり。 0 200 400 600 800 1,000 1,200 1,400 1,600 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日) 80/TCP 3/ICMP 3389/TCP 22/TCP 11/ICMP その他 0 20 40 60 80 100 120 140 160 180 200 1月 1日 1月 15日 1月 29日 2月 12日 2月 26日 3月 11日 3月 25日 4月 8日 4月 22日 5月 6日 5月 20日 6月 3日 6月 17日 7月 1日 7月 15日 7月 29日 8月 12日 8月 26日 9月 9日 9月 23日 10月 7日 10月 21 日 11月 4日 11月 18 日 12月 2日 12月 16 日 12月 30 日 (件/日) 3/ICMP 80/TCP 3389/TCP 22/TCP 11/ICMP その他

(39)

6 ボットネット観測状況

攻撃者が、不正プログラムに感染させ、自らの意のままに操ることのできる状態にしたコンピュータを「ボット」と呼びます。コンピュータをボット化する不正プログラムは、コンピュータ上で稼働している OS やアプリケーションの脆弱性を悪用するなどして、ネットワークを通じて、次々と他のコンピュータに感染を広げるものや、ウェブサイトやメールで、コンピュータをボット化する不正プログラムを実行させることにより感染させるものがあります。多数のボット化したコンピュータがネットワークを形成したものを「ボットネット」と呼び、攻撃者からの指令によって、これらは一斉に操作できる状態になります。ボットネットを操作する攻撃者は、攻撃者の命令を一斉にボットに伝達する「指令サーバ」と呼ばれるコンピュータに対して、攻撃の指令を出します。すると指令サーバは、ボットネットを構成している各コンピュータに対して、攻撃者からの指令を伝えます。指令サーバからの指令を受けた各コンピュータは、DDoS 攻撃、迷惑メールの送信や感染したコンピュータからの情報窃取等、様々なサイバー攻撃活動に悪用されています（図６-１)。警察庁では、ボットネット観測システムを運用し、ボットネットの実態把握に努めています。この観測を通じ、日本国内にボットネットの指令サーバが所在することを認知した場合は、指令サーバとして仕立てられたコンピュータの管理者の協力の下、指令サーバの停止等の措置を行っています。また、悪用されたコンピュータの解析を行い、攻撃者及び手口に係る実態解明を進めるほか、コンピュータの管理者に対して再発防止のための助言等を行うなどして、ボットネットを利用したサイバー犯罪やサイバーテロの未然防止及び被害拡大防止に努めています。図６-１ボットネットのイメージ指令サーバ攻撃者個人ユーザのコンピュータ等命令入力命令をボットに一斉伝達 DDoS攻撃不正プログラム感染活動、迷惑メール送信等ボットボット化ボットボットボットボットネットウェブサーバ等

(40)

6.1 ボットネットの観測状況

6.1.1 ボットネット観測数

平成 24 年のボットネット観測数（ボットネットの指令サーバの認知数）は 397 個で、前期と比較して 49 個（14.1%)増加しています（図６-２)。今期に新たに把握したボットネットは 123 個で、前期から引き続いて観測しているボットネットは 223 個でした。図６-２ボットネット観測数

6.1.2 ボット観測数

今期のボット観測数（観測された全てのボットから、重複する IP アドレス又はコンピュータ名を除いた、ボットの台数）は 179,270 台で、前期と比較して 116,456 台（185.4%）増加しました（図６-３）。その中で、IP アドレスが判明したボットは 11,470 台で、全体の 6.4%でした。観測されたボットの国・地域は計 111 カ国で、前期と比較して減少していますが、引き続き多数の国・地域に所在するコンピュータがボットネットに悪用されています。日本国内のボットは、IP アドレスが判明したもののうち 13.6%を占めており（図６-４)、そのほとんどは個人ユーザが使用しているコンピュータと推測されるものでした。ボットネットの指令サーバの中には、指令サーバ配下のボットに関する接続情報の要求に対して、不明な応答を返すものがあります。また、ボットネットの指令サーバは、独自の IRC プロトコルを使用して運用している場合があります。このため、ボットネット観測者にとって、ボットの台数を正確に把握することは難しくなってきています。実際には観測できていないボットが、相当数存在していると思われます。 331 430 ₄₀₁ 348 397 0 200 400 600 H20 H21 H22 H23 H24 （個）（年）

(41)

6.2 ボットネットの活動状況

6.2.1 攻撃活動

ボットには、様々な攻撃を行うための機能が組み込まれており、その中でも DoS 攻撃は代表的な攻撃手段となっています。ボットネットによる DoS 攻撃では、通常数千台、数万台のボットが、一斉に標的のサーバに対して攻撃を行います。このため、標的となったサーバは、大量のデータを一度に受信することによる負荷に耐えきれず、サービス不能状態に陥ります。また、攻撃元のコンピュータが多数あるため、フィルタリングによる防御が通常の DoS 攻撃よりも困難になっています。ボットネットによる注１：ボット観測数は、コンピュータ名が判明しないものも含んでいます。注２：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。注３：補助円内のグラフは、100%比率に換算して表示しています。 551,226 415,492 27,255 62,814 179,270 0 100,000 200,000 300,000 400,000 500,000 600,000 H20 H21 H22 H23 H24 （台）（年） 19.1% 13.6% 8.4% 6.8% 6.8% 45.3% 米国日本クウェートドイツエジプトその他・不明 93.6% 6.4% IPアドレス不明 IPアドレス判明

(42)

DoS 攻撃の手法としては、SYN flood 攻撃、UDP flood 攻撃、Ping flood 攻撃等があります。今期の攻撃命令の観測数は 93,789 件で、前期と比較して 53,837 件（234.8%)増加しました（図６-５)。大幅に増加した要因として、特定のボットネットによる攻撃命令が、 5 月から 6 月にかけて集中して観測されたことが挙げられます。図６-５攻撃命令件数観測された攻撃命令を攻撃手法別に分類すると、SYN flood 攻撃が最も多く観測されており、攻撃命令件数は 61,448 件で、23 年と比較して 39,852 件（184.5%)増加しています。 SYN flood 攻撃について、攻撃対象の宛先ポート別に分類すると、1995/TCP、 1999/TCP、2020/TCP といった特異なポート番号が上位を占めています（図６-７)。これは、前述した特定のボットネットの攻撃命令によるものでした。このボットネットからの攻撃命令は、7 月以降、観測されなくなっています。また、攻撃対象の国・地域別で見ると、米国が最も多く、全体の 61.6%を占めています。次いで、ドイツ、フランス、英国、トルコの順となっています（図６-８)。 UDP flood 攻撃の攻撃命令件数は 30,067 件で、前期と比較して 22,363 件（290.3%）増加しています。その一方、Ping flood 攻撃の攻撃命令件数は 211 件で、前期と比較して 2,719 件（92.8%)減少したため、SYN flood 攻撃と UDP flood 攻撃で、攻撃命令全体の 97%以上を占めています（図６-６)。 74,508 2,468 3,151 39,952 93,789 0 20,000 40,000 60,000 80,000 100,000 H20 H21 H22 H23 H24 （件）（年）

(43)

SYN flood攻撃 UDP flood攻撃 PING flood攻撃その他・不明 23.0% 19.0% 15.1% 6.2% 5.2% 31.6% 1995/TCP 1999/TCP 80/TCP 6665/TCP 2020/TCP その他 61.6% 19.0% 8.4% 5.4%3.7% 1.9% 米国ドイツフランス英国トルコその他・不明

(44)

6.2.2 更新・ダウンロード活動

ボットには、機能の追加や、接続する指令サーバの変更等を行うため、ボットネットの指令サーバから命令を受けて、インターネットからファイルをダウンロードし、自分自身を更新したり、他のコンピュータへファイルを蔵置したりする機能があります。今期観測された更新命令の件数は 13,423 件で、前期と比較して 11,403 件（45.9%）減少しました（図６-９）。今期に観測した更新命令によりダウンロードしたファイルは、全部で 753 個でした。そのうち、ウイルス対策ソフト等で検出されたファイルは 132 個（17.5%）でした。ダウンロードしたファイルの中には、新たなボットネットに接続されるものだけでなく、コンピュータ内のファイルを暗号化するなどして使用不能にするランサムウェアと呼ばれるものも見受けられました。ダウンロード先の国・地域別では米国が最も多く全体の 42.0%を占めています（図６-10）。図６-９更新命令件数図６-10 ダウンロード先の国・地域別比率（注）注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。 2,025 3,484 49,364 24,826 13,423 0 10,000 20,000 30,000 40,000 50,000 60,000 H20 H21 H22 H23 H24 （件）（年） 42.0% 10.6% 4.2% 3.5% 2.8% 36.7% 米国トルコドイツフランスカナダその他・不明

(45)

6.2.3 感染活動

ボットネットには、ボットを増やすための機能があり、ネットワーク上のコンピュータに対して感染活動を行います。ボットは、OS やアプリケーションの脆弱性、パスワード攻撃、他の不正プログラムに感染したコンピュータが使用するバックドア等を悪用するなどの感染活動を行います。今期観測された感染命令件数は 906 件で、前期と比較して 670 件（283.9%)増加しました（図６-11)。観測した感染命令のうち 95.8%が、今期に新たに把握した 2 つのボットネットからの感染命令でした。このうち１つのボットネットの感染活動は、リモートコントロールソフトである VNC が稼働しているコンピュータを狙ったものでした。コンピュータの利用者は、自らのコンピュータがサイバーテロやサイバー攻撃に加担することのないように、常に高いセキュリティ意識を持って、適切なセキュリティ対策を行うことが大切です。図６-11 感染命令件数 215,205 258,757 100,306 236 906 0 50,000 100,000 150,000 200,000 250,000 300,000 H20 H21 H22 H23 H24 （件）（年）

(46)

Copyright 2013 Cyber Force Center, NPA JAPAN 0 20,000 40,000 60,000 80,000 100,000 120,000 0 1,000,000 2,000,000 3,000,000 H 24. 01 .0 1 H 24. 02 .0 1 H 24. 03 .0 1 H 24. 04 .0 1 H 24. 05 .0 1 H 24. 06 .0 1 H 24. 07 .0 1 H 24. 08 .0 1 H 24. 09 .0 1 H 24. 10 .0 1 H 24. 11 .0 1 H 24. 12 .0 1 H 25. 01 .0 1 流通ファイル数（Share）流通ファイル数（Winny) 接続コンピュータ数（Share）接続コンピュータ数（Winny、国内）流通ファイル数（個/日）接続コンピュータ数（台/日）改正著作権法施行による違法ダウンロード刑事罰化

7 P2P 観測システム

P2P(Peer to Peer)の技術を利用したファイル共有ネットワークは、参加者の匿名性が高く、それに乗じて、多数の違法ファイルが流通しています。警察庁では、その実態を把握するため、平成 21 年に P2P 観測システムを導入して試験運用を行い、22 年 1 月 1 日に正式に運用を開始しました。 Winny 及び Share については、平成 24 年 10 月 1 日に施行された改正著作権法の違法ダウンロード刑事罰化の影響によるとみられる、急激な接続コンピュータ数・流通ファイル数の減少を確認しているほか、全体としても緩やかな減少傾向が続いています（図７-１）。図７-１流通ファイル数・接続コンピュータ数の推移図７-２流通ファイルの傾向（Winny）（注） _{図７-３流通ファイル数の傾向（Share）}（注）注：当データは、小数点第二位で四捨五入しているため、合計が 100%にならないことがあります。 43.6% 29.8% 10.9% 10.9% 2.7% 2.2% 圧縮動画画像音楽文書その他 58.0% 32.7% 2.7% 3.6% 1.5% 1.5% 圧縮動画画像音楽文書その他

Distributed via 情報技術解析平成 24 年報 平成 25 年 2 月 警察庁情報通信局情報技術解析課