Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

複数ポートで「Mirai」のアクセス増を観測 - ブロックチェーン「EOS」の秘密鍵狙う動きも

TCP 80番ポートやTCP 8000番ポート、TCP 8888番ポートなどにおいて、Miraiの感染端末が発信元と見られるアクセスが増加しているとして、警察庁が注意を呼びかけている。

TCP 80番ポートに関しては、ロシアなどを中心に6月10日以降にアクセスが増加。同庁では6月13日に注意を喚起し、6月15日以降は一時減少が見られたが、6月22日よりふたたび増加した。

また6月14日には、TCP 8000番ポートへのアクセス急増を観測。おもに中国を発信元としており、翌15日をピークに減少しているが、以降もアクセスを観測している。日本国内を発信元としたアクセスも観測したとしており、注意が必要。

いずれもアクセス元のIPアドレスでは、脆弱性が指摘されているウェブサーバ「XiongMai uc-httpd」が稼働。「Mirai」に感染後、探索活動などが展開されていると見られている。同サーバをアクセス元としたMiraiボットによるアクセスは、情報通信研究機構(NICT)においても観測されている

20180724_np_001.jpg
「Mira」感染端末を発信元としたTCP 8000番ポートに対するアクセス(グラフ:警察庁)

また警察庁では、TCP 8888番ポートや隣接するTCP 8889番ポート、TCP 8890番ポート、TCP 8900番ポートなどへのアクセス増加も観測しており、「Mirai」による特徴が含まれていた。

一方、これらポートに対して、「Mirai」と無関係と見られるアクセスの増加も観測しているという。

ブロックチェーン「EOS」で用いる「EOS RPC API」の設定に問題があり、テスト用APIで秘密鍵が漏洩する問題が5月24日にGitHubで報告されており、「EOSノード」の同APIへアクセスを試みる探索行為だった。

20180724_np_002.jpg
「EOS」ノードを探索するアクセスの推移(グラフ:警察庁)

(Security NEXT - 2018/07/24 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

2018年2QのDDoS攻撃が3割減 - 一方で「UDPフラッド」など増加
2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で
対GPONルータ攻撃を観測 - 同発信元から仮想通貨発掘ソフト狙うアクセスも
総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
TCP 52869番ポートへのパケット - 「Mirai」亜種による感染活動の可能性
家庭向けIoT機器狙う攻撃、国内発信元は3.5万件超で増加傾向
「繰り返しDDoS攻撃」が増加 - 回避措置も想定、長期ダウン狙う
8月は家庭向けIoT機器への攻撃が増加 - メキシコ発の攻撃増に起因