有关黑客攻击网络世界的新闻时有耳闻。2016年5月,日本三重县志摩市举办“第42届发达国家首脑会议”(伊势志摩峰会)之际,曾采取措施禁止LNG(液化天然气)油轮进入会场周边海域,原因是存在通过网络攻击炸毁油轮的可能性。网络攻击与日俱增,手段也日益复杂和高明。为了了解网络攻击的实际状况,采取有力措施,2005年日本国立研究开发法人信息通信技术研究机构成立了互联网应急中心(NICTER, Network Incident analysis Center for Tactical Emergency Response)。该中心自成立以来一直对全球范围内的网络攻击通信活动进行监测和分析。
2017年2月27日公布的《2017NICTER监测报告》显示,监测网捕获到的网络攻击相关通信数量自监测开始以来12年间增加了约30倍,特别是在近两年中增速显著,分别增长至前一年的2.2倍和1.2倍。从2016年和2017年的监测结果来看较为显著的变化是受到恶意非法软件、有害软件、非法应用程序等感染的物联网(IoT)设备发送的网络攻击增加。生活中各种各样的产品,包括监控摄像头、家庭路由器、移动路由器等都引入了物联网(IoT)技术。根据监测报告发现,至少一半的网络攻击相关通信把物联网设备作为攻击目标。事实上,该项监测报告公布后,日本国内还接连发生了多起利用路由器的漏洞进行网络攻击导致电脑、手机无法联网事件。
IOT网络安全示意图(出处:IPA)
仔细分析监测网所捕获到的网络攻击相关通信发现,受攻击次数最多的是被称为Telnet的通信协议。Telnet是通过网络从远程位置连接到其他计算机时的一项登陆服务协议。Telnet中TCP23端口号(计算机通信时用于标识应用程序的号码)使用较为频繁,2017年其监测数量占网络攻击相关通信整体的38.5%。非法或有害软件和应用程序通过与此端口号进行通信并观察响应来搜索可通过Internet访问的设备。此外,据说大多数都是使用众所周知的ID和密码组合尝试登录。一旦成功登录设备,它会将非法或有害软件和应用程序下载到设备上,感染设备并实现远程控制。
实际上发生了什么?该报告提到,自2017年10月31日起,对日本国内发往TCP23的扫描(观察通信设备响应情况)次数有所增加。调查后发现,日本国内销售的宽带路由器很有可能大多数已被感染。通过分析各种被监测的通信最终查明,某一宽带路由器受到有害软件感染,导致对日本国内发往TCP23的扫描有所增加。由于该宽带路由器版本老旧,运行存在漏洞,因而无法防止感染。引发感染的有害软件是Mirai的亚种,该软件2016年曾在全球范围内引起大规模感染。
2017年监测结果的另一个特点是,针对不断增加的物联网设备的网络攻击类型也发生了变化。如上所述,2017年向TCP23发送的通信占网络攻击相关通信总数的38.5%。但是,2016年其数量更是多达53%。2017年向TCP23发送的通信整体比例较上一年有所减少。另一方面,多个个别端口号通信由于数量较少汇总列为“其他”类,2017年该类别的通信数量由上一年的24%增加到35.8%。关于这一变化报告指出,“攻击方式日益多样化,从针对在大量设备上运行的服务进行攻击发展为向针对仅存在于特定设备和服务中的漏洞进行攻击”。
文 小岩井忠道 客观日本编辑部
相关网站
信息通讯研究机构新闻发布「NICTER监测报告2017年」[网址]
NICTER 监测报告 2017(PDF版)[PDF]
相关报道
2017年09月15日「NICT特别研究员佐佐木雅英谈有助于构建安全社会的量子通信」[网址]
