コラム

警察庁で提供しているインターネット治安情勢

2010年3月 3日

   警察庁では情報システムに対する犯罪防止と被害拡大防止の手段のひとつとして警察施設のインターネット接続点へのアクセス情報の定点観測および分析をしています。これらの情報は警察庁のウェブサイトである「@police」で毎月提供されており、それらを取りまとめたレポートを定期的に公表しています。

   定点観測では「インターネットからセンサーへのアクセス」および「シグネチャ(あらかじめ登録しておいた攻撃や侵入の挙動パターン)を用いた不正侵入等の検知」を重点的に観測しており、平成21年6月30日現在で2,885種類のシグネチャを登録しています。なおIPA(独立行政法人情報処理推進機構)でも定点観測結果を定期的に公表しています(≪関連サイト≫参照)。

   以下では警察庁が平成21年上半期分を取りまとめたレポート「平成21年上半期におけるインターネット治安情勢【インターネット定点観測システム等での観測結果】」を引用して445/TCPに関する観測結果と分析の概要をご紹介します。

   445/TCPは平成20年10月24日にマイクロソフト社がMS08-67として公表した脆弱性があり、これを悪用したConfickerワームが確認されました。ConfickerワームはA~Eの5種類確認されておりこれに感染したパソコンから他の悪意あるプログラムをダウンロードさせて感染させる機能があります。445/TCPに対するアクセス数の推移(図1)を見るとマイクロソフト社が公表した平成20年10月24日の前後でアクセス数がおよそ7倍に増加しています。レポートではアクセス数の増加がConfickerワームの感染台数を示していると推定しています。

   次にアクセス数が増加する以前(図2、平成20年9月)と以後(図3、平成21年6月)の一日の時間帯推移(時間は発信元国の首都の現地時間を基準にしています)を見てみると顕著な違いがあります。図2はアクセス数の変動が小刻みでありサーバなどの常時起動しているコンピュータからのアクセスと考えられます。図3はアクセス数の変動が人間の生活リズムと一致しており家庭や職場で使用されているコンピュータからのアクセスと考えられます。このことからConfickerワームは家庭や職場のセキュリティ対策をしていないコンピュータで感染が拡大していることを示しており、レポートでは公表済みの脆弱性に対する修正プログラムを適用していないという情報セキュリティに対する意識の低さを指摘しています。特にブラジルとロシアは図2と図3での違いが顕著ですのでConfickerワームが非常に流行していると推測しています。

  ITセキュリティセンターはITセキュリティの評価及び認証制度の評価機関ですので上記のワームなどの脅威と直接向き合う立場ではありませんが、これらに対抗する機能を持ったセキュリティ製品やシステムのセキュリティ評価を行っていますのでこれらの情報は大いに関心があるところです。

445/TCPに対するアクセス数の推移
図1 445/TCPに対するアクセス数の推移
(引用)平成21年上半期におけるインターネット治安情勢【インターネット定点観測システム等での観測結果】

445/TCPに対する発信元国・地域別の時間帯推移(平成20年9月)
図2 445/TCPに対する発信元国・地域別の時間帯推移(平成20年9月)
(引用)平成21年上半期におけるインターネット治安情勢【インターネット定点観測システム等での観測結果】

445/TCPに対する発信元国・地域別の時間帯推移(平成21年6月)
図3 445/TCPに対する発信元国・地域別の時間帯推移(平成21年6月)
(引用)平成21年上半期におけるインターネット治安情勢【インターネット定点観測システム等での観測結果】

≪関連サイト≫

※IPAの定点観測結果は「不正アクセス被害の届け出状況について」のページに毎月記載されています。

注目ワード> ISO/IEC15408 コモンクライテリア JISEC 電子政府推奨暗号リスト JCMVP  FIPS140 CMVP/CAVP
Copyright (C) 2007-2017 Information Technology Security Center. All Rights Reserved