14/12/19 14:44:44.38 0
TCP 23番ポートへのアクセスが増加、Linux機器の探索か~警察庁観測レポート
【Impress Watch】(2014/12/19 13:06)
全国の警察施設のインターネット接続点に設置したセンサーによる観測で、11月にはTCP23番ポートに対する
アクセスが大きく増加したほか、NASを対象とする攻撃が観測されたとする調査結果を、警察庁が公表した。
Telnetで使用されるTCP23番ポートに対するアクセスについては、IPヘッダーのTTLの傾向などから、観測した
アクセスの大多数はLinuxが稼働しているサーバーや組み込み機器が発信元になっていると推測された。また、
国内の発信元IPアドレスの中には、ビルなどにおけるエネルギー管理システム(EMS)の管理画面が確認できた
ものも存在しており、警察庁では注意喚起を行っている。
URLリンク(internet.watch.impress.co.jp)
TCP23番ポートに対するアクセス件数の推移(警察庁発表資料より)
観測されたTelnetのログイン試行については、そのIDとパスワードの組み合わせを集計した結果においても、
セットトップボックスや、監視カメラの記録に利用されるデジタルビデオレコーダー、IPカメラルーターなどの
組み込み機器の出荷時初期値と推測される組み合わせが複数確認された。
このことから、TelnetについてはLinuxサーバーだけでなく、Linuxベースの組み込み機器を踏み台とした探索が
多数行われていると分析。探索対象についても、同様にLinuxサーバーやLinuxベースの組み込み機器が
狙われていると推測されるとして、注意を呼び掛けている。
また、11月には国外の特定メーカーが製造するNASを標的とした攻撃が観測された。この攻撃については、
TCP8080番ポートで稼働しているウェブ管理画面を介した2種類の形態が確認されている。1つ目の形態は、9月に
明らかとなったbashの脆弱性を悪用するもので、メーカーからは脆弱性の修正プログラムが提供されている。
この攻撃は9月下旬に観測され、10月には観測されなかったが、11月に入って再び観測されるようになった。
2つ目の形態は、パスワードを変化させログイン試行を繰り返す攻撃で、特に11月23日に集中して攻撃が
観測され、約60種類のパスワードを用いてログインが試行されていた。
警察庁では、近年のNASは高度化が進み、インターネット経由で外部からアクセスして使用する機会も
増えつつあるが、十分な対策を取らず不用意にインターネット上に公開すれば、攻撃の対象となる可能性がある
ことに注意が必要だとしている。
ソース: URLリンク(internet.watch.impress.co.jp)
プレスリリース:
インターネット観測結果等
URLリンク(www.npa.go.jp)