講演抄録/キーワード |
講演名 |
2020-03-02 16:00
広域スキャンとダークネット観測に基づくIoTマルウェア感染状況の分析 ○森下 瞬・小川航汰(横浜国大)・原 悟史(横浜国大/富士ソフト)・田辺瑠偉・吉岡克成・松本 勉(横浜国大) ICSS2019-81 |
抄録 |
(和) |
Miraiに代表されるIoTマルウェアによるTelnetを狙った攻撃が続く一方,Telnetサービスが動作している機器はインターネット上に依然として多く存在する.しかし,これらの機器のうち,どの程度が現在マルウェア感染状態にあり,今後,どの程度の感染の恐れがあるのかは明らかでない.
本研究では,広域ネットワークスキャンシステムであるCensysのデータとダークネット/ハニーポットに届いた攻撃の攻撃元情報を用いて,2019年10月7日から2019年12月29日の期間におけるIoT機器のTelnet開閉状況とIoTマルウェア感染状況を調査した.この結果,Telnetが開いている機器の99.45%は,現状ではIoTマルウェアに感染していないと推測されることが分かった.また,Telnetを狙い感染活動を行っているIoTマルウェアに感染した機器の78.85%でTelnetが開いていないことが分かった.
さらに,スキャンへの応答を分析することで,これらの特徴的な状態にある機器群を20種類以上推定できることがわかった.これらの機器の状態を把握することは,マルウェア感染対策や今後の攻撃の変遷や高度化に備える上で重要と言える. |
(英) |
While IoT malware such as Mirai have been targeting Telnet services, there are still many devices that are still running Telnet services on the Internet. It is yet unclear how many of them are already infected or at risk of infection.
In this study, we analyze the status of IoT devices by combining the Internet wide scan data from Censys and attack source information observed in the darknet and honeypot during October 7, 2019 to December 29, 2019. We found out that 99.45% of devices running Telnet services were not infected. Moreover, we show that 78.85% of infected devices that were attacking Telnet services were not running Telnet.
We were able to infer over 20 devices with such unique status from their response to the network scans. |
キーワード |
(和) |
IoTマルウェア / 広域スキャン / ダークネット / ハニーポット / / / / |
(英) |
IoT malware / Internet-wide scan / Darknet / Honeypot / / / / |
文献情報 |
信学技報, vol. 119, no. 437, ICSS2019-81, pp. 79-84, 2020年3月. |
資料番号 |
ICSS2019-81 |
発行日 |
2020-02-24 (ICSS) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
ICSS2019-81 |
|