Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内から23番ポートへの不正通信が増加 - 業務用機器がマルウェア感染

1月下旬より、国内から「23番ポート」に対する不審なアクセスが増加していることがわかった。国内ベンダー製の業務用機器が、マルウェアへ感染していたケースが複数確認されている。

JPCERTコーディネーションセンター(JPCERT/CC)が、2016年第1四半期の観測状況を明らかにしたもの。同センターでは複数のセンサーを設置。収集したパケット情報を分析し、四半期ごとに統計をまとめている。

同センターによれば、宛先となったポート番号は、同四半期は前期と変わらず「telnet」で利用される「TCP 23番ポート」が最多。次いで「UDP 53413ポート」が多く、特に3月上旬から中旬にかけて一時的に大きな伸びを見せた。

2015年11月下旬より、「TCP 23番ポート」へパケットを送信していた発信元が、「UDP53413ポート」に対してもパケットを送信するようになったという。

20160526_jp_001.jpg
国内IPアドレスを発信元とするパケットの推移。青が「TCP 23番ポート」、赤が「UDP 53413ポート」(グラフ:JPCERT/CC)

「23番ポート」宛てに送られるパケットについて、同センターでは2011年1月ごろから観測。マルウェアに感染してボット化したルータやウェブカメラなどが原因と見られているが、今回あらたな傾向を確認した。

1月中旬まで送信元は海外が中心だったが、1月下旬から国内IPアドレスを発信元とするケースが目立っている。同センターが調査したところ、再生可能エネルギー設備のコントローラーや、通信機器、温度や湿度、気圧などの情報を収集する機器など、国内ベンダーの業務用機器がマルウェアに感染していたケースを確認した。

こうした機器は、「量販店で容易に購入できない」「TCP23番ポートでサービス要求を待っいる」「内部ネットワークで利用することが推奨されている」など特徴が見られ、安価な固定IPアドレスサービスによりインターネットへ接続されていた。

同センターでは、IPアドレス管理者へ問題を解消するよう連絡を取っている。

(Security NEXT - 2016/05/26 ) このエントリーをはてなブックマークに追加

PR

関連記事

8月のDDoS攻撃が4割減 - 「GRE」利用のフラッド攻撃など発生
7月中旬より「memcached」利用したDDoS攻撃を多数検知 - 夜間から早朝にかけて発生
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か
「Memcached」によるDDoS攻撃、3月に約4000件 - 攻撃は1年以上前から
攻撃パケットは前年比約1.2倍、IoT狙う攻撃が高度化 - NICT調査
TCP 52869番ポートへのパケット - 「Mirai」亜種による感染活動の可能性
2017年4Qの脆弱性登録は3719件 - 「Android」が最多、「tcpdump」も上位に
「繰り返しDDoS攻撃」が増加 - 回避措置も想定、長期ダウン狙う