JPCERT/CC の定点観測システム TSUBAME では、SIP サーバの探索を行っていると思われる SIP (5060/UDP) パケットを継続的に観測しています。 これらのパケットのなかには、Linux や UNIX 上で動作する特定のツールを使用していると見られるものも含まれており、第三者に侵入されたサーバが踏み台にされている可能性が考えられます。 JPCERT/CC では、パケットの送信元へ確認を依頼するなどの調査を行っています。なかには、ビデオ会議システムのアプライアンスが踏み台にされていた事例もありました。 サーバに限らずインターネットに接続している機器については、稼働状況の監視を行い、ベンダから提供されるセキュリティアップデートをきちんと適用しましょう。
参考文書(日本語)
-
JPCERT/CC Alert 2011-02-08
主に UNIX / Linux 系サーバを対象としたインターネット公開サーバのセキュリティ設定に関する注意喚起
https://www.jpcert.or.jp/at/2011/at110002.html
-
JPCERT/CC
TSUBAME(インターネット定点観測システム)
https://www.jpcert.or.jp/tsubame/
-
Japan Vulnerability Notes JVNVU#436854
Cisco Tandberg E, EX および C Series における root アカウントのデフォルト認証情報の問題
https://jvn.jp/cert/JVNVU436854/
Weekly Report 2012-12-12号 に掲載