ニュース

IoTマルウエア「Mirai」が悪用する機器の保守管理ベンダーを特定、対処を求める活動開始、DNS水責め攻撃も再び観測~JPCERT/CC定点観測レポート

 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)は16日、2016年7月から9月の観測結果について、国内宛てパケットの分析をまとめた「インターネット定点観測レポート」を公開した。

 インターネットにおけるパケットの観測は、2012年より稼働しているアジア・太平洋地域インターネット定点観測可視化プロジェクト「TSUBAME」によるもので、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集しているもの。時刻、センサー識別子、送信元IPアドレス、送信元ポート番号、送信先ポート番号、プロトコルの各データについての記録が行われている。

 期間中の宛先ポート番号は、1位の「23/TCP(telnet)」と2位「53413/UDP」は前四半期と変わらず、3位は「22/TCP」が6位から上昇。4位は「445/TCP(microsoft-ds)」(前四半期5位)、5位「1433/TCP(ms-sql-s)」(前四半期3位)だった。

上位5位までの宛先ポート番号パケット観測数推移

 送信元を地域別に見ると、1位が「中国」、2位が「米国」、3位「ブラジル」で、これは前四半期と同じ。4位「ベトナム」が7位から浮上しているが、宛先ポート番号別の5割強を占めた23/TCP宛のパケットの約1割の送信元だったため。5位は「韓国」(前四半期5位)だった。

上位5位までの送信元地域別のパケット観測数推移

 23/TCP宛のパケットが9月17日ごろから急増しているが、Telnetが動作しているサイトにログインを試みるIoTデバイス向けのマルウエア「Mirai」によるものと推測している。この時期には、Miraiによるものと思われるDDoS(分散型のサービス妨害)攻撃が確認されている。

 また、23/TCP宛パケットの送信元には特定機種の製品が多く、これは導入時の初期設定手順に問題があった場合が多いという。また、特定ISPが管理するIPアドレスが付与されている場合が多いことから、特定のネットワーク上に多数の機器を配備しているサービス提供事業者の問題によるものと推測している。

 JPCERT/CCでは、送信元IPアドレスの80番ポートなどで動作するウェブサーバーのレスポンスや、Telnet、SSHなどのログイン要求時の文字列から、多数の監視カメラや特定産業向け組込み通信機器をネットワーク上に配備し保守管理を請け負っているベンダーを特定し、適切な対処を求める活動を開始したという。

23/TCP(Telnet)宛のパケット観測数推移

 また、53413/UDP宛のパケット受信数が7月23日から約2週間増加したことの要因は、過去の類似現象と同様、海外製ルーターを対象とする探索・攻撃活動と推測している。

 このほか、DNSのクエリに対する応答パケットをTSUBAMEが国内外の多数のIPアドレスから受信している。分析の結果、存在しないランダムなホスト名の名前解決要求パケットに対する応答パケットだったとのこと。これは、TSUBAMEのセンサーのIPアドレスを詐称して、「オープンリゾルバー」と呼ばれる不適切な設定のDNSサーバーに送信された名前解決要求パケットに対する応答パケットと考えられるという。

 9月20日には、オープンリゾルバーを用いた日本国内からのDNS水責め攻撃が観測された。DNS水責め攻撃は、2014年ごろから頻繁に観測されたが、ここしばらくは途絶えていた。現在のところ攻撃が再び観測されるようになった理由は不明だという。

 オープンリゾルバーを用いたDNS水責め攻撃は影響が深刻な攻撃手法の1つで、JPCERT/CCでは、オープンリゾルバーを減らし、DNS水責め攻撃を少しでも抑えるよう、オープンリゾルバーを保有する組織の管理者への情報提供といった活動を行っていくとしている。

53/UDP(DNS応答パケット)のパケット観測数推移