こんにちは。はなくとです。
今回は、NICTサイバーセキュリティ研究所が進めている、NICTER(Network Incident analysis Center for Tactical Emergency Response)プロジェクトから、2018年のレポートが公開されたので紹介したいと思います。
本レポートでは、ダークネットの観測状況やハニーポットでとらえたサーバー攻撃の状況がまとめられています。また、本レポートは2016年分から公開されており、各年毎のレポートを比較することで、動向の変化を見ることもできます。
原本の参照はこちら(NICTのサイトに飛びます)
https://www.nict.go.jp/press/2019/02/06-1.html
気になったところ
・観測されたパケット数
1IPアドレスあたり、約79万。2017年と比べて約1.4倍増加。
→ただし、観測パケット数の35%が海外組織からの調査目的と見られるスキャン。
・攻撃活動の特徴
①2017年に4割近くを占めていたTelnet(23/TCP)を狙う攻撃が減少。
②固有の脆弱性を狙う攻撃が増加。
③MiraiやWannacryの活動も依然として活発。
④Mirai亜種に仮想通貨採掘機能が取り込まれ、IoT機器に設置される事象を観測。
⑤Andoroidを搭載したIoT機器のマルウェアが登場。
感想
今回、初めてNICT観測レポートを読ませていただいたのですが、こういったレポートは動向を知るうえで非常に参考になると思います。
一方で現実社会に成果を還元するには、メーカとの連携が必要ではないか、と思いました(既にされているかもしれませんが)。
役割分担でいうと、
・NICTER側で大まかな攻撃の動向を把握し、メーカに伝える。
・メーカ側では、動向を踏まえて自社製品にセキュリティ対策を施す。
という形になるのかな、と思いました。
理想を言えば、メーカ側でも自社製品がどのような攻撃を受ける可能性があるのか、もしくは受けているのかを確認できる手段があればよいと思います。PCERTがあれば連携できそうですし。
ただし、ここまでやろうと思うとそれなりの数の専門家が必要となり、人手不足と言われているセキュリティ業界では難しいかもしれません。各メーカが、限られたリソースの中でどこまで有効な施策を打てるのか、課題だと思いました。
おしまい。