ニュース
TCP 23番ポートへのアクセスが増加、ルーターなどIoT機器を狙った攻撃に注意~ダークネット観測レポート
2020年8月28日 16:41
BBソフトサービス株式会社(BBSS)および株式会社クルウィットは25日、IoT機器やサイバー攻撃の実態を可視化する目的で、4月から6月の観測結果をまとめた「ダークネット観測リポート」を公開した。
同リポートは、クルウィットが提供する「SiteVisor」で観測したデータをもとに、IoT機器などへのサイバー攻撃の傾向をまとめたもの。SiteVisorは、インターネット上で到達可能かつ未使用のIPアドレス空間(ダークネット)を観測し、不正通信などを検知するシステムだ。
観測されたダークネット宛のパケット数は、4月が1783万6123パケット、5月が4156万9546パケット、6月が2894万6997パケットだった。
5月の観測パケット数が多いのは、送信元が詐称されたSYN-ACKパケット(バックスキャッタ)の増加によるものだという。同パケットが多く観測された理由は不明だが、これは主に企業のサービスサイトを攻撃するために利用されている手法の1つであるため、今後注意が必要だとしている。
観測ホスト数の推移を見ると、4月が45万6127件、5月が377万2713件、6月が46万7461件。このうちJPドメインの国内ホスト数に関しては、4月が2313件、5月が9万3005件、6月が2546件だった。5月のホスト数の増加に関しても、送信元が詐称されたSYN-ACKパケットの増加によるものとみられる。
宛先ポート番号については、TCP 23番ポート(telnet)を狙ったパケットが3カ月間で多く観測された。また、TCP 22番ポート(ssh)、TCP 80番ポート(http)、TCP 52869番ポート(Unassigned)についても同様にパケットを観測している。これらはルーターなどのIoT機器を狙ったパケットであり、機器の遠隔操作ができるポートが狙われる傾向にある。
TCP 445番ポート(microsoft-ds)、TCP 1433番ポート(ms-sql-s)を狙ったパケットも多く観測されているが、TCP 445番ポート宛のパケットは従来から発生しているPCを狙ったもの、TCP 1433番ポート宛のパケットはデータベースサーバーを狙ったものになる。
なお、送信元の国別観測状況については、4月と5月のトップは米国だが6月は不明だった。
BBSSは、テレワーク推進に伴い家で仕事をする機会が増えることで、会社と比較してセキュリティ対策が十分でない家庭用ルーターやIoT機器を狙った攻撃が増加する可能性があると指摘する。そこで、5年以上前のルーターは買い替える、仕事用のPCは家庭で利用している他の機器と直接通信ができないようにネットワークを分けるなどの対策を推奨している。