Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数ポートで「Mirai」のアクセス増を観測 - ブロックチェーン「EOS」の秘密鍵狙う動きも

TCP 80番ポートやTCP 8000番ポート、TCP 8888番ポートなどにおいて、Miraiの感染端末が発信元と見られるアクセスが増加しているとして、警察庁が注意を呼びかけている。

TCP 80番ポートに関しては、ロシアなどを中心に6月10日以降にアクセスが増加。同庁では6月13日に注意を喚起し、6月15日以降は一時減少が見られたが、6月22日よりふたたび増加した。

また6月14日には、TCP 8000番ポートへのアクセス急増を観測。おもに中国を発信元としており、翌15日をピークに減少しているが、以降もアクセスを観測している。日本国内を発信元としたアクセスも観測したとしており、注意が必要。

いずれもアクセス元のIPアドレスでは、脆弱性が指摘されているウェブサーバ「XiongMai uc-httpd」が稼働。「Mirai」に感染後、探索活動などが展開されていると見られている。同サーバをアクセス元としたMiraiボットによるアクセスは、情報通信研究機構(NICT)においても観測されている

20180724_np_001.jpg
「Mira」感染端末を発信元としたTCP 8000番ポートに対するアクセス(グラフ:警察庁)

また警察庁では、TCP 8888番ポートや隣接するTCP 8889番ポート、TCP 8890番ポート、TCP 8900番ポートなどへのアクセス増加も観測しており、「Mirai」による特徴が含まれていた。

一方、これらポートに対して、「Mirai」と無関係と見られるアクセスの増加も観測しているという。

ブロックチェーン「EOS」で用いる「EOS RPC API」の設定に問題があり、テスト用APIで秘密鍵が漏洩する問題が5月24日にGitHubで報告されており、「EOSノード」の同APIへアクセスを試みる探索行為だった。

20180724_np_002.jpg
「EOS」ノードを探索するアクセスの推移(グラフ:警察庁)

(Security NEXT - 2018/07/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

5月中旬から「TCP 37215番ポート」宛パケット増加 - 「Mirai」亜種か
Wi-Fi対応ストレージ製品の脆弱性狙うアクセス増 - 国内IPアドレスからも
政府の脆弱IoT機器調査「NOTICE」、2月20日から - イメージキャラクターにカンニング竹山さん
32764番と37215番ポートへのアクセス増 - 複数メーカーのルータ脆弱性狙いか
12月上旬から特定ポート宛てのパケットが増加 - Windowsが発信元、共通の特徴見られず
2018年2QのDDoS攻撃が3割減 - 一方で「UDPフラッド」など増加
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
対GPONルータ攻撃を観測 - 同発信元から仮想通貨発掘ソフト狙うアクセスも
総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か