Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で

2018年第2四半期は、「TCP 80番ポート」に対するパケットの増加がJPCERTコーディネーションセンターにより観測された。マルウェア「Mirai」の活動に起因したものと見られている。

同四半期に、同センターが設置するセンサーにより観測したパケットの状況を取りまとめたもの。

同センターによれば、2018年第2四半期は前四半期と変わらず、「telnet」で利用する「TCP 23番ポート」に対するパケットが最多。次に、「Windows」のファイル共有プロトコル「SMB」で使われる「TCP 445番ポート」が多い。

また、6月中旬から「TCP 80番ポート」宛てのパケットが増加しており、従来は上位10ポートに入っていなかったが、同四半期は3番目に多かったという。「Mirai」が発するパケットと見られ、日本国内が送信元となったパケットも確認されている。

20180803_jc_003.jpg
2018年第2四半期における上位5ポートにおけるパケットの観測動向(グラフ:JPCERT/CC)

同センターで、パケットの送信元となっている国内のIPアドレスを確認したところ、ウェブサーバを示す「Server:uc-httpd/1.0.0」のバナーが表示され、ウェブカメラやレコーダーと見られるログイン画面が表示された。

ウェブサーバ「XiongMai uc-httpd/1.0.0」に関しては、複数の脆弱性がすでに公開されており、一部で実証コードがインターネット上で公開されている。

今回観測されたパケットが、実証コードを使用した攻撃によるものかどうかは不明だが、一部の機器において検証用コードを使用したと推測される攻撃が確認されているという。

TCP 80番ポートに対するアクセスとしては、警察庁が、6月10日以降にアクセスが増加していることを確認。いずれも「XiongMai uc-httpd」が稼働していた。

20180803_jc_002.jpg
2018年第2四半期における80番ポート、8000番ポートにおけるパケットの観測動向(グラフ:JPCERT/CC)

(Security NEXT - 2018/08/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

複数ポートで「Mirai」のアクセス増を観測 - ブロックチェーン「EOS」の秘密鍵狙う動きも
対GPONルータ攻撃を観測 - 同発信元から仮想通貨発掘ソフト狙うアクセスも
総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答
「Mirai」亜種に狙われる脆弱IoT端末、50万台以上稼働か
国内のMirai亜種感染機器からの通信が3月に増加 - 背景に「akuma」
TCP 52869番ポートへのパケット - 「Mirai」亜種による感染活動の可能性
家庭向けIoT機器狙う攻撃、国内発信元は3.5万件超で増加傾向
「繰り返しDDoS攻撃」が増加 - 回避措置も想定、長期ダウン狙う
8月は家庭向けIoT機器への攻撃が増加 - メキシコ発の攻撃増に起因
家庭向けIoT機器への攻撃、1日あたり1.9万IPアドレスから