中国からTCP3389番ポートに対するパケットが一時増加 - RDP脆弱性攻撃の準備か
インターネットイニシアティブ(IIJ)のCSIRTチームである「IIJ-SECT」が、ハニーポットのTCP3389番ポートに対するパケットが増加したことを伝えている。
日本マイクロソフトが、3月の月例セキュリティ更新プログラム「MS12-020」で修正したRDPの脆弱性「CVE-2012-0002」を対象とした実証コードが公開されたことを受け、同社が設置するハニーポットの検知状況などを伝えたもの。
同社によれば、任意のコードを実行できる実証コードやワームは確認していないが、更新プログラムが公開された翌15日から17日までの3日間、中国からのパケット数が増加した。
特に16日には通常の2倍以上と大きく跳ね上がった。18日以降落ち着きを見せているものの、今回の一時的なアクセス増加が攻撃の事前調査だった可能性もあるとして、注意が必要と指摘している。
一方、同ポートへアクセスを試みるIPの増加傾向が先に日本IBMのTokyo SOCにより報告されているが、IIJがハニーポットへのアクセスについて同様の分析したところ、それまでの平均値に対して1.4倍程度の変動が見られたものの、大幅な増加はなかったという。
(Security NEXT - 2012/03/22 )
ツイート
PR
関連記事
3月に公開されたRDPの脆弱性に対する攻撃は限定的 - 不審パケットには引き続き注意を
MS月例パッチ公開から2日でDoS実証コードが発生 - 回避策用の「Fix It」も
RDP脆弱性攻撃で複数の実証コードが存在か - 3389番ポートをスキャンするIPも増加
MS、月例セキュリティパッチ6件を公開 - 「攻撃者に魅力的な脆弱性」を修正