Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

5358番ポートへのアクセスが増加、「Mirai」と異なるIoTボットネットか

警察庁は、TCP 5358番ポートに対するアクセスが1月下旬より増加しているとして注意喚起を行った。マルウェアへ感染したIoT機器が発信元とみられている。

20170322_np_001.jpg
TCP 5358番ポートに対するアクセスの推移(グラフ:警察庁)

同庁によれば、観測システムにおいて1月23日ごろよりTCP 5358番ポートに対するアクセスが増加しているという。発信元のIPアドレスを見ると、ベトナムや台湾、ブラジル、韓国、トルコなどが中心。発信元の52%が、telnetで利用するTCP 23番ポートに対してもアクセスを行っていた。

同庁が発信元IPについてブラウザで接続すると、いずれもネットワークカメラやルータなどネットワーク機器のログイン画面が表示される状態で、IoT機器がマルウェアへ感染し、攻撃の踏み台に利用されていると同庁では分析。

IoT機器へ感染するマルウェアとしては「Mirai」が有名だが、今回観測したアクセスでは、TCPシーケンス番号と宛先IPアドレスが一致する「Mirai」の特徴とは異なり、別のマルウェアが感染している可能性があるという。

(Security NEXT - 2017/03/22 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

フィッシング対策や脆弱性公開に尽力した専門家に感謝状 - JPCERT/CC
ビルシステム向けセキュリティソリューション - NTTセキュリティら
九大ら、スマートファクトリー向けセキュアプラットフォームを共同研究
横国大とBBSS、共同研究開始 - 「バーチャルIoTホームハニーポット」を活用
IoTセキュアGWの実証実験、有効性確認の一方で誤検知も - 総務省
ネット接続された脆弱な重要インフラIoT機器が150件 - 4分の3は連絡つかず
対GPONルータ攻撃を観測 - 同発信元から仮想通貨発掘ソフト狙うアクセスも
総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答
2017年度の国内セキュリティサービス市場は2749億円 - 前年度比13.8%増
脆弱なウェブサーバ狙う「Mirai」らしきアクセス急増 - 国内でも感染拡大か