マルウェアに感染したIoT機器からのアクセスが増加、警察庁が注意喚起

　マルウェアに感染したIoT機器が発信元とみられるアクセスが1月下旬より増加しているとして、警察庁が注意を喚起し、IoT機器のユーザー名とパスワードをデフォルトのものから変更する対策を推奨している。

TCP 5358番ポートへのアクセス、Mirai以外のIoTマルウェアの可能性

　インターネット定点観測システムにおいて、TCP 5358番ポートに対するアクセスが1月23日ごろより増加しており、この発信元のうち52％がTCP 23番ポート（telnet）へのアクセスも行っていた。発信元のIPアドレスは、中国、ブラジル、ベトナム、台湾、などが多かった。

　これらのIPアドレスへウェブブラウザーでアクセスを試みると、ネットワークカメラやルーターなどのネットワーク機器のログイン画面が表示されたため、警察庁ではこれらが踏み台になっているとの見方を示している。

　IoTマルウェア「Mirai」には、TCPシーケンス番号と宛先IPアドレスが一致する特徴がある。しかし、今回観測されたアクセスではこれが一致しないことから、警察庁では別のマルウェアに感染したIoT機器によるものとの可能性を指摘している。

TCP 5358番ポートへのアクセス件数の発信元国・地域別推移

TCP 32/TCP 3232/TCP 19058番ポートへのアクセス急増はMiraiによるもの

　一方、2月6日以降にはTCP 32番、TCP 3232番の各ポート、2月3日ごろからはTCP 19058番ポートへのアクセス急増もが確認されている。これらの99％が、TCPシーケンス番号と宛先IPアドレスが一致しており、発信元IPアドレスではネットワーク機器のログイン画面が表示されたことから、警察庁ではMiraiの亜種によるものと分析している。

TCP 32/3232番ポートへのアクセス件数の推移

TCP 32番ポートへのアクセス件数の発信元国・地域別推移

TCP 3232番ポートへのアクセス件数の発信元国・地域別推移

　なお、TCP 19058番ポートへのアクセスについては、2016年12月18日以降にアクセスの急増が観測されているTCP 6789番ポートへのパケットにおいて、TCP 19058番ポートに対するバックドア構築を企図していると考えられるアクセスを観測しているという。

TCP 19058番ポートへのアクセス件数の発信元国・地域別推移

　警視庁ではこれらへの対策として、IoT機器のデフォルトのID・パスワードの変更に加え、ファイアウォールによる不必要な外部アクセスの遮断、製品の脆弱性情報の確認とファームウェアアップデート実施などを挙げている。

NETGEAR製ルーターの脆弱性を標的としたアクセスを観測

　NETGEAR製無線LANルーターにおける脆弱性は、2016年12月に米CERT/CCから公表されたもので、脆弱性が悪用されるとリモートから任意のコードが実行される可能性がある。

　インターネット定点観測システムで2月27日に観測されたTCP 80番ポートへのアクセスに、観測されたすべてのアクセスに、外部からファイルのダウンロードおよび実行を試みるコードが含まれていたという。このことから、ファームウェアがアップデートされていないNETGEAR製ルーターをマルウェアに感染させるものと警察庁では推測している。

　ルーターの初期設定では、プライベートネットワークからのみ管理画面にアクセスできるため、脆弱性の悪用はできない。しかし、リモート管理機能が有効に変更されている場合に、アクセス制限が適切に設定されていないか、ゲストネットワークのパスワードが設定されていない環境では、リモートからコードが実行できてしまうため、警察庁ではファームウェアのアップデートを推奨している。

NETGEAR製ルーターの脆弱性を標的としたアクセス件数の推移

観測したアクセスのリクエスト内容