Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

国内の「Mirai」感染、12月18日の時点で約1.5万件

情報通信研究機構(NICT)は、国内を発信元とする「Mirai」の感染端末からのパケットを確認していることから注意を呼びかけた。現在も約1万5000件のユニークなIPアドレスよりパケットが送信されているという。

同機構によれば、10月31日ごろより日本国内の「Mirai」感染端末が発信元と見られるTCP 23番ポートへのパケットを観測しているもの。

同機構のシステム「NICTER(Network Incident analysis Center for Tactical Emergency Response)」における観測では、送信元のユニークなIPアドレスが11月3日に約1万6000件を記録したほか、ピーク時には約2万4000件に達した。12月18日の時点でも約1万5000件を確認しており、拡大傾向が見られるという。

今回の攻撃では、パケットの送信元で既知の脆弱性が解消されていないロジテック製の一部ルータを利用していることが判明している。同ルータがインターネット経由のUPnPで「CVE-2014-8361」に対する攻撃を受け、「Mirai」に感染。感染端末の増加がパケットの増加を引き起こしていると見られている。

同機構は、既知の脆弱性を悪用する機能が「Mirai」の亜種に取り込まれ、今回の感染拡大を引き起こしたと指摘。同製品以外にもUPnPへアクセスするためにさまざまなポートが解放されており、あらたな機器への感染が拡大するおそれもあるとして注意を呼びかけている。

(Security NEXT - 2017/12/19 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス
フロント企業で人材確保していた「FIN 7」 - リーダー逮捕後も活動継続
「WebLogic」に対する攻撃、国内でも多数観測
脆弱性で感染広げるボットネット「Muhstik」 - 「WebLogic」を標的に
「Drupal」脆弱性で感染を拡大するボット「Muhstik」見つかる
アダルトサイト有料会員狙う攻撃が拡大 - ダークウェブで売買されるアカウント
セーフティクリティカルなシステムでのLinux活用目指してプロジェクト
政府の脆弱IoT機器調査「NOTICE」、2月20日から - イメージキャラクターにカンニング竹山さん
32764番と37215番ポートへのアクセス増 - 複数メーカーのルータ脆弱性狙いか
画像ファイルに悪用コード隠す「ステガノグラフィ」 - 無償ツールが拡大後押しか