Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。
ニュース 政府・業界動向 脆弱性 製品・サービス コラム 過去記事 メルマガ

12月上旬から特定ポート宛てのパケットが増加 - Windowsが発信元、共通の特徴見られず

2018年12月上旬より、「TCP 445番ポート」「TCP 1433番ポート」宛てのパケットが増加した。何らかのマルウェアに感染した「Windows」環境が発信元と見られている。

JPCERTコーディネーションセンターが、2018年第4四半期に同センターが配置したセンサーで観測したパケットの状況を取りまとめたもの。

同四半期は前四半期から引き続き、「telnet」で利用する「TCP 23番ポート」に対するパケットが最多。同様に「Windows」のファイル共有プロトコル「SMB」で使われる「TCP 445番ポート」が次いで多かった。さらに「TCP 1433番ポート」「TCP 80番ポート」「TCP 22番ポート」と続く。

同四半期において目立った動きとしては、12月3日ごろより「TCP 445番ポート」宛てのパケットが増加。さらに同月10日前後から、3番目に多かった「TCP 1433番ポート」宛てのパケットについても増加が観測されたという。

20190117_jp_001.jpg
上位5ポートのパケット観測数(グラフ:JPCERT/CC)

これらパケットの増加は、いずれも国内外のIPアドレスが発信元で、多くは「Windows」が稼働していると見られている。

稼働していたのは、とすでにサポートが終了している「Windows Server 2003」だけでなく、「同2008」や「同2012」なども含まれていた。

SMBのポートを見ても、開放されているケースや閉じられているケースが混在。共通した特徴は見られなかったという。発信元のホストが感染しているマルウェアは、特定されておらず、同センターでは調査を進めている。

また同月9日ごろからは、国内を送信元とした「TCP 37215番ポート」宛てのパケットが増加した。

同センターが調べたところ、Realtek製のSDKの脆弱性「CVE-2014-8361」の影響を受けた国内製のブロードバンドルータが送信元であることが判明。「Mirai」亜種の感染が疑われるとしている。

(Security NEXT - 2019/01/17 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

DDoS攻撃は減少するも、2カ月連続で300件超 - IIJレポート
DDoS攻撃が前月比1.5倍、5カ月ぶりに300件超 - IIJレポート
DDoS攻撃に注意喚起、発生を前提に対策を - 政府
DDoS攻撃の観測数は微増、最大規模で約12Gbps - IIJ報告
DDoS攻撃件数は減少傾向、一方で174Gbps超の攻撃も - IIJレポート
米当局、「PAN-OS」を標的とするDoS攻撃に注意喚起
DDoS攻撃件数は減少するも、最大攻撃規模は拡大 - IIJレポート
DDoS攻撃、前月から約3割減、最大攻撃規模も縮小 - IIJレポート
3カ月連続で300件以上のDDoS攻撃を観測 - IIJ
前月同様300件超のDDoS攻撃を観測 - IIJレポート

ピックアップ
製品・サービスニュース
Security NEXTとは? | 広告掲載について | 利用規約・免責事項 | 二次利用について | 外部送信について | お詫びと訂正 | 運営会社概要
Copyright (c) NEWSGAIA Co.,Ltd. All rights reserved.