Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

対GPONルータ攻撃を観測 - 同発信元から仮想通貨発掘ソフト狙うアクセスも

警察庁は、「GPONホームルータ」に見つかった脆弱性の悪用を試みるアクセスの増加を5月初旬に観測したことを明らかにした。

韓DASAN Networks製の「Gigabit Passive Optical Network(GPON)」ルータにおいて見つかった深刻な脆弱性「CVE-2018-10561」「CVE-2018-10562」を悪用する動きを観測したもの。脆弱性が悪用されると認証を回避して管理画面にアクセスされたり、コマンドインジェクションが行われるおそれがある。

脆弱性は4月30日に公表されたが、同庁では、5月6日より脆弱性を対象とするアクセスを観測。10日に増加し、11日にピークを迎えた。

アクセス元を調べたところ、ほとんどがメキシコのIPアドレスで稼働する「GPONルータ」や「デジタルビデオレコーダ」といったIoT機器を発信元としていたという。

20180704_na_001.jpg
GPONルータの脆弱性に対するアクセスの推移(グラフ:警察庁)

「GPONルータ」に対する攻撃は、情報通信研究機構(NICT)やトレンドマイクロでも観測されており、発信元がメキシコのIPアドレスだった点は、トレンドマイクロの報告とも一致している。

また同庁では、同じ発信元のIPアドレスからtelnetのTCP 23番ポートをはじめ、仮想通貨のマイニングを行うソフトウェア「Claymore」を標的としたと見られるTCP 3333番ポートへのアクセスや、TCP 52869番ポートより特定のファイルをダウンロードしたり、実行を試みるアクセスも観測しているという。

マルウェアに感染したIoT機器を通じて、感染の拡大や仮想通貨を発掘するための脆弱な機器を探索しているとして、注意を呼びかけている。

20180704_na_002.jpg
GPONルータを攻撃した発信元からの他ポートに対するアクセス推移(グラフ:警察庁)

(Security NEXT - 2018/07/04 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
TCP 52869番ポートへのパケット - 「Mirai」亜種による感染活動の可能性
家庭向けIoT機器狙う攻撃、国内発信元は3.5万件超で増加傾向
「繰り返しDDoS攻撃」が増加 - 回避措置も想定、長期ダウン狙う
8月は家庭向けIoT機器への攻撃が増加 - メキシコ発の攻撃増に起因
家庭向けIoT機器への攻撃、1日あたり1.9万IPアドレスから
JPCERT/CC、「Mirai」被害低減や標的型攻撃情報共有などに貢献した専門家やCSIRTに感謝状
5358番ポートへのアクセスが増加、「Mirai」と異なるIoTボットネットか