Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

対GPONルータ攻撃を観測 - 同発信元から仮想通貨発掘ソフト狙うアクセスも

警察庁は、「GPONホームルータ」に見つかった脆弱性の悪用を試みるアクセスの増加を5月初旬に観測したことを明らかにした。

韓DASAN Networks製の「Gigabit Passive Optical Network(GPON)」ルータにおいて見つかった深刻な脆弱性「CVE-2018-10561」「CVE-2018-10562」を悪用する動きを観測したもの。脆弱性が悪用されると認証を回避して管理画面にアクセスされたり、コマンドインジェクションが行われるおそれがある。

脆弱性は4月30日に公表されたが、同庁では、5月6日より脆弱性を対象とするアクセスを観測。10日に増加し、11日にピークを迎えた。

アクセス元を調べたところ、ほとんどがメキシコのIPアドレスで稼働する「GPONルータ」や「デジタルビデオレコーダ」といったIoT機器を発信元としていたという。

20180704_na_001.jpg
GPONルータの脆弱性に対するアクセスの推移(グラフ:警察庁)

「GPONルータ」に対する攻撃は、情報通信研究機構(NICT)やトレンドマイクロでも観測されており、発信元がメキシコのIPアドレスだった点は、トレンドマイクロの報告とも一致している。

また同庁では、同じ発信元のIPアドレスからtelnetのTCP 23番ポートをはじめ、仮想通貨のマイニングを行うソフトウェア「Claymore」を標的としたと見られるTCP 3333番ポートへのアクセスや、TCP 52869番ポートより特定のファイルをダウンロードしたり、実行を試みるアクセスも観測しているという。

マルウェアに感染したIoT機器を通じて、感染の拡大や仮想通貨を発掘するための脆弱な機器を探索しているとして、注意を呼びかけている。

20180704_na_002.jpg
GPONルータを攻撃した発信元からの他ポートに対するアクセス推移(グラフ:警察庁)

(Security NEXT - 2018/07/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

5月中旬から「TCP 37215番ポート」宛パケット増加 - 「Mirai」亜種か
Wi-Fi対応ストレージ製品の脆弱性狙うアクセス増 - 国内IPアドレスからも
政府の脆弱IoT機器調査「NOTICE」、2月20日から - イメージキャラクターにカンニング竹山さん
32764番と37215番ポートへのアクセス増 - 複数メーカーのルータ脆弱性狙いか
12月上旬から特定ポート宛てのパケットが増加 - Windowsが発信元、共通の特徴見られず
2018年2QのDDoS攻撃が3割減 - 一方で「UDPフラッド」など増加
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
複数ポートで「Mirai」のアクセス増を観測 - ブロックチェーン「EOS」の秘密鍵狙う動きも
総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か