TSUBAMEとは
JPCERTコーディネーションセンター TSUBAME(インターネット定点観測システム)
IPA(情報処理推進機構)と共同でセキュリティ情報発信サイト「JVN」を運営しているJPCERT/CCが提供しているサービス。
特定箇所のインターネット機器を流れるパケットを定点観測したレポートが公開されており、クラッカーの攻撃傾向やウィルスの流入動向が分かります。
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。
https://www.jpcert.or.jp/tsubame/report/report201901-03.html
公開されているレポートを閲覧することで、以下が分かります。
- どのポートが狙われる傾向があるのか
- どの国から送信されているのか
- 最近の攻撃のトレンドは何なのか
四半期ごとに統計を公開してくれる
例えば直近の2019/1~3月に観測された順位は以下だそうです。近年TELNETポートを開けているIoT機器が多い為、そこを狙ったウィルス「Mirai」の亜種が増え、攻撃パケットが多い傾向があるそうです。
| 順位 | 宛先ポート番号 | 前四半期の順位 |
| 1 | 23/TCP (telnet) | 1 |
| 2 | 445/TCP (microsoft-ds) | 2 |
| 3 | 52869/TCP | 6 |
| 4 | 1433/TCP(ms-sql) | 3 |
| 5 | 22/TCP (ssh) | 5 |
同期間の送信元の国ランキングです。オランダは平和そうなイメージが有りますがIT的には意外とブラックなんでしょうかね?
| 順位 | 送信元地域 | 前四半期の順位 |
| 1 | ロシア | 1 |
| 2 | 米国 | 2 |
| 3 | 中国 | 3 |
| 4 | オランダ | 5 |
| 5 | ウクライナ | 4 |
週間レポートもしてくれる
週次で毎週水曜日にセキュリティ情報を発信してくれています。「Weekly Report」はJVNの内容と被るところも多いですが、「ひとくちメモ」はセキュリティ関連の有用な知識や最新ニュースが公開されています。
四半期ごとに公開される「インターネット定点観測レポート」はインフラ上のセキュリティ対策動向を知る為の指標になり、レポートやグラフを解説付きで見ることが出来て通信機器の動向を窺い知ることが出来ます。
JVNと併せて使用すればセキュリティ対策事項を即座に知ることが出来ます。
JVNの方のRSSはセキュリティ懸念が発生したプロダクト名(Apacheとか)も入っているので、自分が採用しているプロダクト名をRSSリーダーでフィルタしておけば効率的にパッチ情報を受け取れます。
TELNETポート向けパケットが今のご時世でも大量に飛んでいる事実を知れたのはこのサービスのお陰です。
