ラックは2017年9月25日、2017年4月~6月の間に検知したセキュリティ攻撃についてレポート「JSOC INSIGHT vol.17」としてまとめ公開した(公開先)。同社のセキュリティ監視センター「JSOC」が監視しているIDS/IPS、サンドボックス、ファイアウォールの検知結果についてアナリストが分析したもの。注目すべきなのは、攻撃そのものよりも感染先を探す「探査通信」が急増していること。中でも、中国発のものが目立つ。

 WannaCryが猛威を振るった5月には、感染拡大を狙ったと思われるTCP445番ポートに対するポートスキャンの検知が急増している。それまでは1000~5000件程度だったものが、WannaCryの情報が公開された5月12日直後は7万件超と一気に10倍以上に急拡大した。

WannaCryの情報が公開された直後にTCPの445番ポートに対するスキャンが急増している
WannaCryの情報が公開された直後にTCPの445番ポートに対するスキャンが急増している
(出所:ラック)
[画像のクリックで拡大表示]

 レポートでは、DNSやNTP、SNMPといったUDPを使うサービスに対する怪しい通信も急増していることを報告している。サービスを提供しているサーバーの脆弱性を見つけて、DDoS攻撃の踏み台にする狙いがあるものと、ラックでは分析している。

 例えば、NTPのmonlist機能に対する探査通信が急増している。具体的には、いつもは3000件程度のリクエストが、6月2日~3日の間だけ約3万7000件に達したことを検知している。ラックが詳細に分析したところ、この期間のリクエストの9割以上が中国に割り当てられているIPアドレスを発信元としているという。

送信元のIPアドレス保有国別に見たNTPのmonlistに対するリクエスト検知件数
送信元のIPアドレス保有国別に見たNTPのmonlistに対するリクエスト検知件数
(出所:ラック)
[画像のクリックで拡大表示]

 それ以外にも、大きな被害にはつながっていないが、注意が必要な通信を検知していると警告している。例えば、中国に割り当てられたIPアドレスである「110.85.4.102」から4月中旬まで、さらに5月下旬にはやはり中国のIPアドレスである「36.62.162.205」からの脆弱性スキャンがあったことを検知している。

 IoT機器を狙ったマルウエア「Mirai」についても、6月20日以降に通信が急増している。その送信元の9割以上が中国に割り当てられたIPアドレスで、攻撃の試行回数が少ないことから、やはり感染拡大を狙った通信が多かったとラックでは分析している。