Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

5358番ポートへのアクセスが増加、「Mirai」と異なるIoTボットネットか

警察庁は、TCP 5358番ポートに対するアクセスが1月下旬より増加しているとして注意喚起を行った。マルウェアへ感染したIoT機器が発信元とみられている。

20170322_np_001.jpg
TCP 5358番ポートに対するアクセスの推移(グラフ:警察庁)

同庁によれば、観測システムにおいて1月23日ごろよりTCP 5358番ポートに対するアクセスが増加しているという。発信元のIPアドレスを見ると、ベトナムや台湾、ブラジル、韓国、トルコなどが中心。発信元の52%が、telnetで利用するTCP 23番ポートに対してもアクセスを行っていた。

同庁が発信元IPについてブラウザで接続すると、いずれもネットワークカメラやルータなどネットワーク機器のログイン画面が表示される状態で、IoT機器がマルウェアへ感染し、攻撃の踏み台に利用されていると同庁では分析。

IoT機器へ感染するマルウェアとしては「Mirai」が有名だが、今回観測したアクセスでは、TCPシーケンス番号と宛先IPアドレスが一致する「Mirai」の特徴とは異なり、別のマルウェアが感染している可能性があるという。

(Security NEXT - 2017/03/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2017年の国内IoTセキュリティ製品市場は624億円、前年比20.5%増
中小企業向けのIoT品質確認チェックリスト - IPA
【訂正あり】イスラエル発「Cybertech Tokyo 2018」が都内で開催
脆弱ライブラリ同梱した「Apache Struts」、「Webex」などCisco製品にも影響
NICT、脆弱IoT機器調査の検討に向け事前調査 - 11月14日から
複数無線LAN製品に脆弱性「BLEEDINGBIT」 - TI製BLEチップに起因、医療機器にも影響か
ボットネット「Cutwail」、日本狙うメール攻撃に新展開 - 画像に命令埋め込む「ステガノグラフィ」を悪用
IoTクラウドサービスの安全性に関する情報開示指針を策定 - 総務省
金融分野におけるサイバーセキュリティ取組方針を改訂 - 金融庁
IoTセキュリティにおけるブロックチェーン活用で解説資料 - CSAジャパン