情報通信研究機構(NICT▼)は、2021年に観測したサイバー攻撃関連通信の状況をまとめた「NICTER観測レポート2021」を発表した▼。ビジネス向けのシステムで採用が多い仮想化技術コンテナを標的とする通信の量が初めて上位10位に食い込むなど、3つの傾向が明らかになった。
NICTER観測レポートは、NICTが2005年から運用する大規模なダークネット観測網「NICTER」に届いたサイバー攻撃に関連するパケットを収集し、分析したものだ。ダークネットとは企業や組織に割り当てられているものの、実際には使われていないIPアドレス群を指す。使われていないIPアドレスなので、正常な通信が届くことはまずない。ダークネットへの通信は、調査目的の通信やサイバー攻撃などの不正な通信である可能性が高い。
NICTは約29万個のIPアドレスを用意してパケットを収集し、1年ごとに傾向をまとめている。サイバー攻撃の傾向が分かり、企業などの組織にとっても防御の参考になる。
攻撃が鈍化したわけではない
2021年版に特徴的な傾向は3つある。1つは2011年以来、10年ぶりにサイバー攻撃関連の通信が減少したことだ。NICTERが用意するIPアドレス1個につき、どれだけの攻撃関連の通信を観測したかを計算した。2021年の観測数はIPアドレス1個につき約175万件と、2020年より約10万件減少した(図1)。前年よりも減少したケースは、東日本大震災の関連で一部のシステムが動作しなかった影響を受けた2011年以来、10年ぶりの珍しい現象だ。
ただ、残念ながらサイバー攻撃が鈍化したわけではなさそうだ。NICTサイバーセキュリティ研究所サイバーセキュリティネクサスの上席研究技術員である久保 正樹氏は一過性の現象にすぎないと指摘する。
前年の2020年に観測した通信には、DDoS攻撃▼を受けたサーバーから偽装されたIPアドレス宛てに送られてきた通信である「バックスキャッター」が大量に含まれていたという。つまり2021年が例外的に減ったわけではなく、2020年が例外的に大幅増だったことになる。その影響を除いて分析すると、攻撃関連の通信が右肩上がりの傾向は続いたままというわけだ。
