「Redis」狙うパケットが1.8倍に - JPCERT/CC調査

JPCERTコーディネーションセンターは、2021年第4四半期における攻撃パケットの観測状況を取りまとめた。「TCP 6379番ポート」宛てのパケットがもっとも多く観測されたという。

同四半期に同センターがグローバルに設置する定点観測システム「TSUBAME」などを通じて観測した攻撃パケットの状況を取りまとめたもの。

NoSQLデータベース「Redis」で使用されている「TCP 6379番ポート」宛てに送信されたパケットが、前四半期の約1.8倍に拡大して最多だった。「telnet」に用いる「TCP 23番ポート」、SSHで使用する「TCP 22番ポート」と続いている。

「TCP 6379番ポート」に対するパケットは、同四半期の後半に向けて増加傾向が見られた。中国を送信元とするパケットが88％を超えており、ついで多いシンガポール、米国、韓国、香港などと比較しても突出している。

同センターが設置する「Redis」を模したハニーポットに対するアクセス内容を見ると探索にとどまらず、何らかの処理を行おうとしていた。

一定回数アクセスを行ったIPアドレスを比較すると、「TSUBAME」で観測されたアクセスは半数以上がハニーポットものと重複しており、マルウェアの感染などを狙ったアクセスと見られるという。

（Security NEXT - 2022/01/25 ）ツイート