1. 概況
JPCERT/CCでは、インターネット上に複数の観測用センサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集し、宛先ポート番号や送信元地域ごとに分類して、これを脆弱性情報、マルウエアや攻撃ツールの情報などと対比して分析することで、攻撃活動や準備活動の捕捉に努めています。また、こうした観測では、複数の視点による多元的な見方も重要であるため、主に海外のNational CSIRTと連携してそれぞれの組織にセンサーを設置し観測網に参加してもらう活動を行っています。各地のセンサーから収集したデータを分析し、問題が見つかれば、適切な地域のNational CSIRT等に情報を提供し、状況の改善を依頼しています。また、日本国内固有の問題については、JPCERT/CCの日々の活動の中で対処しています。
本レポートでは、本四半期に国内に設置されたセンサーで観測されたパケットを中心に分析した結果について述べます。
順位 | 宛先ポート番号 | 前四半期の順位 |
---|---|---|
1 | 23/TCP (telnet) | 1 |
2 | 22/TCP (ssh) | 2 |
3 | 1433/TCP(ms-sql-s) | 4 |
4 | 445/TCP(microsoft-ds) | 3 |
5 | 53413/UDP | 6 |
※ | ポート番号とサービスの対応の詳細は、IANAの文書 (*1) を参照してください。なお、サービス名はIANAの情報をもとに記載していますが、必ずしも各サービスプロトコルに則ったパケットが受信されているとは限りません。 |
図1は、期間中のトップ5の宛先ポート番号ごとのパケット観測数の推移を示しています。
クリックすると拡大されます
送信元地域のトップ5を[表2]に示します。
順位 | 送信元地域 | 前四半期の順位 |
---|---|---|
1 | 中国 | 1 |
2 | 米国 | 2 |
3 | ロシア | 3 |
4 | ブラジル | 4 |
5 | 日本 | 5 |
図2に期間中のトップ5のパケット送信元地域からのパケット観測数の推移を示します。
クリックすると拡大されます
前四半期同様に本四半期も、WindowsのSQL ServerとSMBサービスのリクエストパケットが多数観測されました。また、SSH(22/TCP)やTelnet(23/TCP)のリクエストパケットも前四半期に続きトップ5に入る数を観測しており、脆弱なWebカメラ、ルータ、NAS等の機器の探索が継続して行われているものと推測されます。また、日本国内で販売されていたある無線LANルータの脆弱性が悪用されることでMirai亜種に感染し、さらに感染を広げるためのパケットを送信しているという先四半期の報告 (*2) で述べた状況は今四半期も継続して観測されています。その他に関しては、特筆すべき状況の変化は見られませんでした。
2. 注目された現象
2.1. 日本国内のIP アドレスからの23/TCP宛のパケットの観測状況について送信元IPアドレスが日本国内で23/TCP宛のパケット観測数の1月から3月にかけての推移を図3に示します。これらのパケットの送信元のほとんどはMiraiの亜種に感染した機器であると推測されます。
クリックすると拡大されます
Miraiの背後にいる攻撃者は、攻撃対象や手法を時に応じて変えており、それに合わせるように異なる亜種を繰り出しているようです。Miraiやその亜種に感染した機器は、感染時に使用した攻撃手法への一時的な対策を行うことで別の亜種への感染を防ぐ場合もあります。しかし、抜本的な対策が行われていない機器では、マルウエアにより再起動される、またはユーザが自ら機器の再起動を行うことを契機として感染状態を脱し、再び新たなMirai亜種に感染することがあります。そのため、インターネット全体としては、Mirai亜種に感染している機器の内訳が徐々に変化しています。
23/TCP宛のパケットの観測数の増減は、Miraiの亜種それぞれが対象とする感染機器の台数の推移にブレークダウンすることができます。すなわち、図3に示したような、日本国内から送信された23/TCP宛のパケット観測数の2月末にかけての現象とそれ以降の増加から次のことが推測されます。
・ | 2月のある時期までは、攻撃者は日本国内で販売されていたある無線LANルータを対象にMiraiの亜種に感染させようとしていたが、機器ベンダー (*3) やISP、セキュリティ機関等 (*4) の対策の呼びかけによってユーザによる対策が進んだことにより、感染した機器の台数が減少していった。 |
・ | 2月末になって、攻撃者が日本国内で販売されていた前項と同じ機種のルータを対象としたMiraiの亜種を用いた攻撃を再開したことに伴って、再起動により感染状態から脱していた機器が再び感染し、一時的にパケットを観測しなくなったIPアドレスからのパケットが再度送信され始めた。 |
この推測を裏付けるように、2月26日以降に再度パケットを観測した23/TCP宛のパケットの送信元IPアドレスの管理者に情報を提供したところ、2017年12月19日に公表した注意喚起に記載されている製品を使用していたとの回答が複数ありました。
対策されていない機器がまだ使用されているとみられるため、注意喚起情報 (*5) の「対象」に列挙されたルータを使用してインターネットに接続している場合は、対策を実施してください。
2.2. 5555/TCP宛のパケット数の観測状況について
2018年2月4日頃より、Port5555/TCP宛のパケットを観測しています。送信元には国内外のIPアドレスのパケットがありますが、図4に国内のIPアドレスのパケット数の推移を示します。
クリックすると拡大されます
これらのパケットは、Miraiに感染した端末からのパケットと共通した特徴を有していることから、Miraiの亜種に感染した端末によるものと推測されます。パケットは5555/TCPを宛先としており、ほかのポート番号へのパケットはほとんど観測されていません
また、感染した端末の機種を特定するため、日本国内の一部の送信元にアクセスしてみましたが、5555/TCPが開いていることが確認できただけで、機種を特定できるような情報は得られませんでした。
送信元IPアドレスの管理者へ照会したところ、一部の方から海外製のインターネットTVチューナー機器(以下「TV box」)を、ルータやファイアウォールなどを介さずにインターネットに接続していたとの回答がありました。
当該TV boxの製品仕様を確認したところ、Android OSを使用していることがわかりました。今回、パケットの宛先ポート番号となった5555/TCPは、Android OSにはネットワークを介してデバッグ用のadbコマンドを受け付ける機器上のデーモン (*6) が使用する一部のポート番号で、開発完了後は必要ないため閉じておくべきものです。攻撃者は遠隔より接続が可能なネットワーク経由でのデバッグが可能な機器の探索や攻撃を行っていた可能性が高いと考えられます。同時期に海外では仮想通貨の一種「Monero」のマイニングの試行を行うマルウエアが「Mirai」のコードを流用し、同ポートへの通信を試みる活動を行っていたとの調査結果 (*7) があり、日本国内でもデバッグ用のadbコマンドを受け付ける機器が設置され、本攻撃活動の影響を受けたと考えられます。それ以外にも同様の問題をもつ機器がある可能性があるため継続して情報収集を行っています。
ネットワークに接続する機器は、攻撃を受ける可能性があるため、ファイアウォール等で適切なアクセス制御を行い、不審な通信が発生していないか確認することをおすすめします。
3. 参考文献
(1) | Service Name and Transport Protocol Port Number Registry |
https://www.iana.org/assignments/service-names-port-numbers/service-names-port-numbers.xhtml |
|
(2) | インターネット定点観測レポート(2017年 10~12月) |
https://www.jpcert.or.jp/tsubame/report/report201710-12.html |
|
(3) | ロジテック製 300Mbps 無線LAN ブロードバンドルータおよびセットモデル (全11モデル)に関する重要なお知らせとお願い |
http://www.logitec.co.jp/info/2017/1219.html |
|
(4) | ルータ製品の脆弱性を悪用して感染を広げる Mirai の亜種に関する活動(2017-12-19) |
http://www.nicter.jp/report/2017-01_mirai_52869_37215.pdf 脆弱性が存在するルータを標的とした宛先ポート52869/TCPに対するアクセス及び日本国内からのTelnetによる探索を実施するアクセスの観測等について https://www.npa.go.jp/cyberpolice/important/2017/201712191.html Mirai亜種の感染拡大に伴う注意喚起 https://wizsafe.iij.ad.jp/2017/12/175/ |
|
(5) | Mirai 亜種の感染活動に関する注意喚起 |
https://www.jpcert.or.jp/at/2017/at170049.html |
|
(6) | Android Debug Bridge |
https://developer.android.com/studio/command-line/adb.html?hl=ja |
|
(7) | ADB.Miner: More Information |
http://blog.netlab.360.com/adb-miner-more-information-en/ |
最新情報についてはJPCERT/CCのWebサイトをご参照ください。
JPCERTコーディネーションセンター(JPCERT/CC)
https://www.jpcert.or.jp/tsubame/report/index.html