2018年2Q、TCP 80番ポート宛てのパケットが増加 - 「Mirai」影響で

同センターで、パケットの送信元となっている国内のIPアドレスを確認したところ、ウェブサーバを示す「Server:uc-httpd/1.0.0」のバナーが表示され、ウェブカメラやレコーダーと見られるログイン画面が表示された。

ウェブサーバ「XiongMai uc-httpd/1.0.0」に関しては、複数の脆弱性がすでに公開されており、一部で実証コードがインターネット上で公開されている。

今回観測されたパケットが、実証コードを使用した攻撃によるものかどうかは不明だが、一部の機器において検証用コードを使用したと推測される攻撃が確認されているという。

TCP 80番ポートに対するアクセスとしては、警察庁が、6月10日以降にアクセスが増加していることを確認。いずれも「XiongMai uc-httpd」が稼働していた。

2018年第2四半期における80番ポート、8000番ポートにおけるパケットの観測動向（グラフ：JPCERT/CC）

（Security NEXT - 2018/08/03 ） ツイート

PR

関連記事

2023年1Q、日本発のMiraiによるパケットが増加 - JPCERT/CC
「Mirai」によるパケットが増加 - 送信元の多くで防犯用映像記録装置が稼働
「Mirai」国内感染ホスト、約半数がロジテック製ルータ
2021年1Qにダークネットで1187億パケットを観測 - NICT
約3分の1の企業がIoTやOTでセキュリティ事故を経験
国内設置ルータを踏み台とした攻撃パケットの増加を観測 - JPCERT/CC
VirusTotalがIoTマルウェア分類ハッシュ関数「telfhash」を採用
政府の脆弱IoT機器調査「NOTICE」、2月20日から - イメージキャラクターにカンニング竹山さん
2月中旬から「Mirai」亜種が活発化か - JPCERT/CC観測
PW設定に問題あるIoT機器、年間2249件に注意喚起