Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

総務省、「Shodan」同等の調査システムを構築 - 国内IPアドレス6%が応答

さらに今回の調査では、情報通信研究機構(NICT)が運用するセンサー「NICTER」の「TCP 23番ポート」や「同2323番ポート」に対して感染パケットを送信していたマルウェアの感染機器に対し、ネットワークスキャンを試みた。

20180703_so_003.jpg
マルウェア感染機器における反応状況(グラフ:総務省)

スキャン対象となったIPアドレスの55%からなんらかの応答があり、52%はポートスキャンに反応。ボットである「Mirai」の亜種が感染に用いるポートや、「Mirai」の亜種に対して脆弱な固有のポートなどが稼働していることを確認した。

一方45%については反応がなく、調査対象外だったポート経由の感染が疑われるほか、マルウェアによる要塞化、ポートスキャンのブロック、キャリアグレードNATの影響などが想定されるとしている。

同省は調査を通じて、今回開発したネットワークスキャンシステムが、インターネット接続機器の検索エンジンとして知られる「Shodan」や「Censys」と遜色ない調査能力を有することを確認したと説明。信憑性を確保した正確なスキャン結果を蓄積したり、「NICTER」との連携により、マルウェア感染機器の分析について精度向上がはかれるとしている。

(Security NEXT - 2018/07/03 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Docker API」狙う攻撃に注意 - 9月ごろより増加
SonicWall製品のVPNに深刻な脆弱性 - 約80万台に影響か
MTA「Exim」に対する攻撃が拡大 - 脆弱なサーバは360万台以上稼働か
「Exim」に深刻な脆弱性 - リモートよりコマンド実行のおそれ
RDPに総当たり攻撃するボット「GoldBrute」 - 試行ごとに異なるIPアドレス
「Docker」設定ミス狙う攻撃に注意 - マルウェア感染のおそれ
一部Androidエミュレータがデバッグ経路をネット公開 - コインマイナー感染活動の標的に
不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象
執拗な攻撃で組織へ侵入、感染するランサムウェア「SamSam」 - 被害は約590万ドルに
約5万台のMQTTサーバが公開状態 - 国内でも1012台が稼働