5月末にトネリングによる「RDP」接続が急増

5月27日から31日にかけて、トンネリングを用いたリモードデスクトップ接続が多数検知された。

インターネットイニシアティブ（IIJ）が、5月に同社マネージドセキュリティサービスにおいて「IPS」「IDS」により観測した攻撃の状況を取りまとめたもの。

前月までNetis製やNetcore製ルータの脆弱性を狙う攻撃が過半数を占める傾向が続いていたが、同月は23ポイント減少。48.6％と過半数を割った。

割合の減少は、5月27日から31日にかけてトンネリングを用いたTCP 443番ポートに対するリモードデスクトップ接続を多く検出したことが起因しているという。

同社では「RDP Tunneling Attempt Detected」として検知。月末5日間の検知だけで全攻撃の30.4％を占めた。スキャン活動は5月27日の23時ごろから活発になり、スキャンを行う送信元IPアドレスの数も急増した。

発信元はロシアのIPアドレスで、特定のISPが所有するIIPアドレスだった。以前から観測されているスキャン活動であると考えられる。同社では3月にもアクセスの増加を観測している。

そのほか、おもに中国を送信元として、コンテンツマネジメントシステム（CMS）の「Joomla」の脆弱性を狙い、コードを実行を試みる攻撃が、5月4日から増加するなどの動きが見られた。

（Security NEXT - 2019/07/05 ） ツイート

PR

関連記事

教員や学生宛てのメールで個人情報含むファイルを誤添付 - 山口大
「Node.js」向けMySQLクライアントにRCE脆弱性
子会社元従業員、ネットバンク経由で3.5億円を横領 - ホッカンHD
クラウド保存した進路アンケートが生徒からも閲覧可能に - 都立中等学校
「PuTTY」に脆弱性、「WinSCP」「FileZilla」なども影響 - 対象の旧鍵ペアは無効化を
Ivanti製モバイル管理製品「Avalanche」に深刻な脆弱性 - 一部PoCが公開済み
2024年1Q、フィッシングサイトが増加 - サイト改ざんやスキャン行為は減少
サードパーティ製ソフトに起因する脆弱性7件を修正 - Atlassian
先週注目された記事（2024年4月14日〜2024年4月20日）
「MS Edge 124」がリリース、脆弱性17件を修正