「TCP 6379番ポート」宛てのパケットが増加傾向 - JPCERT/CC観測
JPCERTコーディネーションセンターは、2021年第3四半期における攻撃パケットの観測状況を取りまとめた。「TCP 6379番ポート」宛てのパケットが増加傾向にあるという。
同四半期に同センターがグローバルに設置するセンサーで観測した攻撃パケットの状況を取りまとめたもの。「telnet」に用いる「TCP 23番ポート」宛て送信されたパケットが最多だった。NoSQLデータベース「Redis」で使用されている「TCP 6379番ポート」、SSHで使用する「TCP 22番ポート」と続いている。
「TCP 6379番ポート」に対するパケットは、四半期を通じて観測されており、後半に向けて増加傾向が見られた。パケットの8割超は中国より送信されたもので、米国、シンガポール、香港、ロシアなどからのパケットも確認されている。また国内のIPアドレス約20件から送信されたパケットも観測し、IPアドレスの管理者に情報提供を行ったという。
同センターでハニーポットにて取得したファイルを調査したところ、認証を突破したり、情報の窃取、OSの操作など行うペイロードを確認した。
送信元に特定のOSやソフトウェアなど、共通要素は見られず、詳しい原因はわかっていない。攻撃端末の推移から、マルウェア感染に起因するものではなく、攻撃者が侵害したサーバを踏み台としたり、攻撃インフラを用意している可能性があると分析している。
(Security NEXT - 2021/10/19 )
ツイート
関連リンク
PR
関連記事
「Mirai」と異なるボット、国内ベンダーのルータに感染拡大か
2Qはインシデントが約8.5%増 - フィッシングが増加
2024年2Qの「JVN iPedia」登録は1463件 - NVDの公開遅延が影響
「サポート詐欺」の相談が3割増 - 過去最多を更新
2Qの脆弱性届け出は112件 - 前四半期から半減
2024年1Qのクレカ不正利用、前四半期から12.4%減
2024年1Qのオンライン銀不正送金、被害額が大幅減
国内で「Mirai」とは異なるボットネットの動きが加速
2024年1Qの脆弱性届け出は243件 - 前四半期比約2割減
2024年1Q、フィッシングサイトが増加 - サイト改ざんやスキャン行為は減少