不審なアクセスの観測状況(説明)
警察庁では、全国の警察施設のインターネット接続点にセンサーを設置し、その観測結果から、「解析・観測結果に関するレポート(技術者向け)」を公表しています。「不審なアクセスの観測状況」では、 観測した検知情報を迅速に提供するため、 平成15年10月より公開しています。
グラフは1時間毎に更新されます。インターネットにおける各種攻撃状況の変化等を把握する基礎資料としてご活用下さい。 特異状況を認知した場合は、トップページにてお知らせいたします。
グラフの説明
横軸の単位は時間で、縦軸は1時間毎に集計された1IPアドレス当たりの件数です。
■シグネチャを用いた不正侵入等の検知
検知された各シグネチャは、次に示すような分類に従って集計されます。グラフには、分類の上位5つとそれ以外(Others)の件数がプロットされます。
グラフに表示される分類
| 分類 | 説明 |
|---|---|
| Attempted Administrator Privilege Gain | 管理者権限の取得を試みる攻撃の検知 |
| Attempted User Privilege Gain | ユーザー権限の取得を試みる攻撃の検知 |
| A Network Trojan was Detected | トロイの木馬への感染を試みる攻撃の検知 |
| Potential Corporate Privacy Violation | 企業情報等のプライバシー侵害の検知 |
| A Suspicious String was Detected | 不審な文字列の検知 |
| Malware Command and Control Activity Detected | 不正プログラムによるC2サーバからの攻撃指令の検知 |
| Attempted Information Leak | 情報漏洩を試みる攻撃の検知 |
| Detection of a Network Scan | ネットワークスキャンの検知 |
| Web Application Attack | Webアプリケーションに対する攻撃の検知 |
| Misc activity | 上記分類に含まれないアクセスの検知 |
シグネチャは随時追加しています。
■センサーに対するアクセス
センサーは、全てのIncomingのパケットを破棄する設定となっています。 集計は、Incomingのトラフィックのみ対象とし、Outgoingのトラフィックはカウントされません。 グラフでは、ファイアウォールに到着したパケット数の集計結果がプロットされます。
グラフには以下の種類があります。
- 宛先ポート別
- 発信元国別
- 宛先ポート別(発信元:日本)
- 発信元TCPポート別
各グラフは、最新の動向を把握しやすくするため、 過去24時間における上位7つの項目とそれ以外(Others)の件数がプロットされます。
発信元TCPポート別推移は、TCPのフラグ種別に関係なく、発信元のポート番号毎に件数を集計したものです。 このグラフに限り、Othersの件数はプロットされません。
各ポート別のグラフにおいて、TCPとUDPはポート番号が表示されますが、 ICMPについてはTypeフィールドが表示されます。 (例:8/icmp → Echo Request)
ICMPで表示される主な数値(Typeフィールド)とその意味(RFC792,RFC1812より抜粋)
| 数値 | 意味 |
|---|---|
| 0 | Echo Reply |
| 3 | Destination Unreachable |
| 4 | Source Quench |
| 5 | Redirect |
| 8 | Echo Request |
| 11 | Time Exceeded |
| 12 | Paramter Problem |
| 13 | Timestamp Request |
| 14 | Timestamp Reply |