11月度IoTサイバー脅威分析リポート日本国内におけるIoT機器からのサイバー攻撃が前月の94倍に増加

【1】 アクセスホスト数・攻撃ホスト数

下記は2017年10月～11月の日次のアクセスホスト数、攻撃ホスト数の推移です。

図1：アクセスホスト・攻撃ホスト数推移

図1に示す通り、11月期もIoT機器への攻撃が継続的に行われています。当観測システムでは、11月は１日当たり約4.6万IPアドレスからのアクセス（アクセスホスト数）、約2.9万IPアドレスからの不正な侵入（攻撃ホスト数）を観測しています。10月と比較して、11月の総アクセスホスト数は52％増加し1,378,146件、総攻撃ホスト数は42％増加し888,115件となりました。図1に示したとおり、11月22、23日、11月29、30日の2回の突出した箇所があります。これは攻撃者が何らかのオペレーションを実施したものと考えられます。

【2】 国別攻撃ホスト数

攻撃ホスト数を国別に分類したもので、11月は196カ国からの攻撃を観測し、総攻撃ホスト数（ユニークな攻撃ホスト数）は470,212件でした。攻撃ホスト数の上位国（20位まで）は図2のようになっています。11月は、これまで圏外だった日本が前月の約94倍の攻撃ホスト数を観測し4位にランクインしています。1位のブラジルは前月の約1.3倍となり全体の約26％を占めています。2位の中国は約1.2倍の増加、3位のアルゼンチンは前月の約10倍とこちらも急増が観測されました。

図2：攻撃ホスト数国別順位

変化の見られた11月22、23日はアルゼンチンの急増（図3）、11月29、30日の増加はコロンビア、エジプト、チュニジア、エクアドル、アルゼンチン、ウクライナの6カ国の急増（図4）が確認され、それぞれ2日間のピークの後、収束しています。

図3：アルゼンチンの攻撃ホスト数急増

図4：6カ国の攻撃ホスト数急増

※注：上記は単純な攻撃ホスト数のカウントであり正規化を行なっていないため、人口やインターネット利用者数が多い国が上位にきている点に注意が必要です。

日本国内での攻撃ホストの増加（図5）については、観測されたAS（ISP）数は11月の14日から18日に拡大、そのほとんどで攻撃ホスト数が100倍近く増加しており、8月のような特定のAS（ISP）ではなく、国内全域にIoTウイルス感染機器が増加したものと推測されます。

図5：日本国内上位10位のASにおける攻撃ホスト数

攻撃元の多くはIoTマルウェアに感染した脆弱なIoT機器であり、これらの国やAS（ISP）ではIoTマルウェアに感染した機器が多く存在すると考えられます。

【3】 ウイルス検知状況

検知されたウイルスをマルウェア検査サービスVirusTotal※で4種類のアンチウイルスエンジンで検査した結果です。

図6：ウイルス検知数

図6は、当観測システムで収集したIoTウイルス検体を、VirusTotalにて4社のアンチウイルスエンジンにかけて検査をした結果です。各社のエンジンによって検知数、検知名称、分類などが異なりますが、それぞれLinux.Lightaidra（A社）、Linux.Gafgyt(Ｂ社)、BASHLITE（C社）、Linux/Mirai (D社)の検知数が非常に多くなっています。また、11月のマルウェア検知総数は、853件で前月より約8％の減少となっています。

※注：上記は検体ハッシュ値をVirusTotalに投稿した結果で、過去にVirusTotalに投稿された検体のみの結果が示されます。当観測システムで収集可能なウイルスの傾向には偏りがあるため、この結果がそのままIoTウイルスの流行の全体傾向を示しているものではありません。