ぬるきゅー(ぬるめのセキュリティ日記)

気になったセキュリティ関連ニュースのぬるめのメモ

気が向いたので中国CNCERTコーディネーションセンターの週報を読んでみた

中国のJPCERT/CCにあたるCNCERTコーディネーションセンターが毎週だしている週報を気が向いたので読んでみた。2021年第39週、2021/09/20~09/26分。

www.cert.org.cn

こちらCNCERT/CCトップページの上方中央「安全报告(セキュリティ報告)」に「网络安全信息与动态周报-YYYY年第NN期」とあるページが週報の記事で、各記事を開くとPDFファイルで週報が添付されている。

本文をご紹介するのは冗長になるのでチャートだけご紹介。

今週のサイバーセキュリティ基本状況 f:id:todkm:20211004111802j:plain

2021/09/「優/良/中/悪/危」の5段階評価で上から2番目らしい。 その下は良くない事象の件数なので、先週比で減ればグリーン、増えればレッドの矢印。

項目は上から順に… * 国内マルウェア送信回数 * 国内マルウェア感染コンピュータ台数

  • 国内ウェブサイト改ざん数
  • うち政府関連サイト数

  • 国内バックドア設置ウェブサイト数

  • うち政府関連サイト数

  • 国内ウェブサイトになりすましたウェブサイト数

  • 脆弱性増加数

  • うち危険性の高いものの数

下の円グラフはマルウェア配信元サーバーのドメイン名の統計。

左がドメイン登録住所が国内(境内)、国外(境外)、不明(未知)の順。中国国内に被害をもたらしているマルウェア配信元ドメインの半分以上は中国国内のサーバーと分かる。以外に国内⇒国内のマルウェア配布が多い。

右がトップレベルドメインの比率。.CNは21.2%と少なく、中国国内で登録されている.COMドメインからのマルウェア配布が多いと読める。その他国名ではフランス、ロシアがわずかだが存在する。

f:id:todkm:20211004111807j:plain

下の円グラフは左が改ざんされた国内ウェブサイト、右がバックドアを仕掛けられた国内ウェブサイトのトップレベルドメイン

f:id:todkm:20211004111816j:plain

下の円グラフは報告対象週に登録された脆弱性の分布。Webアプリが最多で39.8%、以下アプリケーション、ネットワーク機器、AI機器(Alexaや天猫精灵などの機器のことか)、セキュリティ製品、OSの順。

f:id:todkm:20211004111824j:plain

下の円グラフはCNCERTが処理したセキュリティインシデントの分布。なりすましウェブサイトが70.8%と圧倒的多数、以下脆弱性、スキャン、モバイルマルウェア不正アクセスDoSの順。中国もフィッシングが多いようだ。

f:id:todkm:20211004111833j:plain

右の棒グラフは処理したインシデントのうち、上が海外組織と協力して対応した国内から報告があったインシデント、下が国内組織と協力して対応した国外から報告のあったインシデント。

国外からの通報で国内のインシデントに対応する場合の方が圧倒的に多いことが分かる。

下の棒グラフは、左がなりすましウェブサイトの業種別統計。ほとんどが銀行。右はなりすましウェブサイトのテイクダウンのためにCNCERTに協力したレジストラ別の件数。

アリババテレコム(阿里通信)が最多なのはそもそもシェアが大きいからだろうか。2位の烟台帝思普はサービスブランド名でいえば「DNSPOD」、3位は「Xinnet(北京新网)」とのこと。

f:id:todkm:20211004111839j:plain

報告書の最後にはトピックスとして以下の3つが取り上げられている。

  • 浙江省烏鎮で2021/09/26~09/28開催の2021年世界インターネット大会
  • 国家サイバーセキュリティで先進的取り組みを行った組織や個人を表彰するイベント
  • 工業情報化部が「サイバーセキュリティ法」「電信条例」「電信インターネットユーザー個人情報保護規則」などの法律に違反し、ユーザーに危害を加えるスマホアプリが334個を通報

CNCERT/CCが報告をうけたり自ら観測した不正ドメインブラックリストとして下記サイトで公開されているとのこと。

https://share.anva.org.cn/web/publicity/listurl

以上、中国国内に被害をおよぼしているマルウェア配布元が、一つ前の週も57.4%、さらにその前も60.5%と、6割前後国内⇒国内で配布されているのがやや意外だった。