JPCERT/CCでは、インターネット上の攻撃動向を観測するためのシステムを稼働させています。システムについての詳細情報や観測事例については、下のリンクよりご参照ください。
インターネット定点観測について
JPCERT/CCは 2003年度より定点観測システムを立ち上げ運用しています。 定点観測システムではインターネット上に観測用のセンサーを分散配置し、ワームの感染活動や弱点探索のためのスキャンなど、セキュリティ上の脅威となるトラフィックの観測を行なっています。 定点観測システムによって得られた情報は Web を通じて定期的に公開しているほか、注意喚起発行などを通じてネットワーク管理者やシステム管理者に向けてセキュリティ予防情報を提供するために使用しています。
定点観測システムで設置しているセンサーは IX の近傍や xDSL のエッジ等様々なアドレスブロックに分散配置され、脅威を全方向から捉えるようになっています。インターネットから到達するパケットのうち TCP、UDP および ICMP パケットを記録しています。観測用センサーは、国内外のネットワークに設置しています。
観測グラフ
- アクセス先ポート別グラフ
各センサーに到達したパケット数を集計し、最近一週間の上位5ポートおよびICMPをグラフ上に描画したものです。
- 3ヶ月グラフ(アクセス先ポート別グラフ)
[クリックすると拡大します]
- 1年間グラフ(アクセス先ポート別グラフ)
[クリックすると拡大します]
- ポート別グラフ
クリックすると3ヶ月と1年間のグラフが表示されます。
ICMP
ICMP(Internet Control Message Protocol:インターネット制御通知プロトコル)は、IP(Internet Protocol) 通信においてエラーメッセージの通知や制御メッセージの送信を行うプロトコルです。ICMPは、RFC792にて規定されています。TSUBAME では、全てのタイプの ICMP メッセージを集計して ICMP として表示しています。
FTP (port20/TCP,port21/TCP)
FTP(File Transfer Protocol:ファイル転送プロトコル)は、TCP/IP ネットワークにて主にサーバ・クライアント間のファイルの転送に使用されるプロトコルです。通常、FTP では制御用 (21/tcp) とデータ用 (20/tcp) に二つの TCP コネクションが使用されます。 FTPはRFC 959 にて規定されています。
SSH (port22/TCP)
SSH(Secure Shell:セキュアシェル)は、安全性が確保されていないネットワーク上でのセキュアなリモートログインやその他のセキュアなネットワークサービスを提供するプロトコルです。クライアントとサーバ間の通信には、22/tcp が使用されます。SSH は、RFC4250 ~ 4256 にて規定されています。
TELNET (port23/TCP)
TELNET は、TCP/IP ネットワークにて主に端末間の 8 ビット双方向通信を提供するプロトコルです。通常端末間の通信には 23/tcp が使用されます。TELNET は、RFC854 にて規定されています。TELNET では通信の秘匿性が保証されないため、遠隔のシステムとの通信には SSH などを使用することが推奨されます。
SMTP (port25/TCP)
SMTP(Simple Mail Transfer Protocol:簡易メール転送プロトコル)は、電子メールを転送するプロトコルです。通常、クライアントとサーバ間の通信には 25/tcp が使用されます。SMTP は、RFC2821 にて規定されています。
DNS (port53/TCP,port53/UDP)
DNS(Domain Name System:ドメインネームシステム)は、ドメイン名とIPアドレスの対応付けを行う階層的な分散型データベースシステムです。通常、クライアントとサーバ間の通信には 53/tcp,53/udp が使用されます。DNSは、RFC1034,1035 にて規定されています。
HTTP (port80/TCP)
HTTP(Hypertext Transfer Protocol:ハイパーテキスト・トランスファー・プロトコル)は、クライアント(ブラウザ)とサーバの間で WEB コンテンツを送受信するために用いられる通信プロトコルです。通常、クライアントとサーバ間の通信には 80/tcp が使用されます。HTTP は、RFC 2616 にて規定されています。
POP3 (port110/TCP)
POP(Post Office Protocol:ポストオフィスプロトコル)は、メールサーバから電子メールを受信するためのプロトコルです。現在は、改良された POP3(POP version3) が主に使用されています。通常、クライアントとサーバ間の通信には 110/tcp が使用されます。POP3 は、RFC1939 にて規定されています。
NTP (port123/UDP)
NTP(Network Time Protocol:ネットワークタイムプロトコル)は、ネットワークに接続された機器の時刻を正しい時刻に同期させるためのプロトコルです。通常、クライアントとサーバ間の通信に 123/udp が使用されます。NTP は、RFC1305 にて規定されています。
IMAP4 (port143/TCP)
IMAP(Internet Message Access Protocol:インターネットメッセージアクセスプロトコル)は、メールサーバから電子メールを受信したり、メールサーバ上でメールを操作したりするプロトコルです。主に利用される IMAP4 rev1 では、クライアントとサーバ間の通信に 143/tcp が使用されます。IMAP4 rev1 は、RFC3501 にて規定されています。
HTTPS (port443/TCP)
HTTPS(Hypertext Transfer Protocol Security:ハイパーテキスト・トランスファー・プロトコル・セキュリティ)は、ブラウザ(クライアント)とサーバ間の通信を暗号化する際に使用される URI スキームです。通常、クライアントとサーバ間の通信に 443/tcp が使用されます。
MSSQL (port1433/TCP,port1434/UDP)
MSSQL(Microsoft SQL Server)は、Microsoft SQL Server の略称です。通常、クライアントとサーバの通信や問い合わせに、1433/tcp,1434/udp が使用されます。
RDP (port3389/TCP)
RDP(Remote Desktop Protocol:リモートデスクトッププロトコル)は、Microsoft ターミナルサービスが稼働するシステムに遠隔のコンピュータから接続する際に使用されるプロトコルです。通常、クライアントとサーバ間の通信には 3389/tcp が使用されます。
定点観測活動に基づく注意喚起一覧
定点観測レポート
定点観測データの提供について
JPCERT/CCでは、定点観測システムで観測されたパケットを記録しデータを保存しています。主に大学などの研究向けにネットワークモニタリング観測データを開示しています。フォーマットについては、以下の情報となります。データの提供を希望される方は、office@jpcert.surreyarmycadets.comまでお問い合わせください。
時刻,センサー識別子,送信元IPAddress,送信元ポート番号,送信先ポート番号,プロトコル,(TCPの場合は,TTL,Code Bit,Windowサイズ,Urgent Pointerなど UDPの場合は Length の情報も提供可能です) ※定点観測システムを移行したため、旧システムの観測データには一部のフォーマットで含まれていない項目があります。
国内の定点観測事業者の交流について
JPCERT/CCでは、原則国内の定点観測事業を行っている組織を対象に、4半期に1度観測動向など情報共有のための会議を実施しております。定点観測システムを運用中で観測データをもとに情報共有のための会議への参加に興味のある方は、office@jpcert.surreyarmycadets.com までお問い合わせください。
2023年4月3日現在、ご参加いただいている組織(順不同)は以下の通りです。
- WCLSCAN様
・2019年12月21日 8時38分~13時28分 ・2019年9月9日 9時36分~11時52分 ・2019年5月17日 17時36分~23時59分 ・2015年9月20日 14時50分~9月24日 9時20分
