TCP 3389番ポートへのスキャンが増加、ワーム「Morto」の感染活動の可能性

　JPCERTコーディネーションセンター（JPCERT/CC）は7日、TCP 3389番ポートへのスキャンが8月中旬より増加しているとして、注意喚起を行った。

　TCP 3389番ポートは、Windowsのリモートデスクトップが使用しているポート。JPCERT/CCでは、インターネット定点観測システムにおいて、TCP 3389番ポートへのスキャンが増加していることを確認。原因については特定できていないが、このポートを対象にスキャンを行うマルウェア「Morto」の可能性が考えられるとしている。

　Mortoに感染したPCは、DNSサーバーにリクエストを送信し、近くのIPアドレスのTCP 3389番ポートに対してスキャンを実施。スキャンに応答したPCに対して、リモートデスクトップによるログインを試み、ログインが成功したPCにMortoを感染させる。

　JPCERT/CCでは、リモートデスクトップを使用するサービスを利用している場合、システムで使用するアカウントに脆弱なパスワードを使用しないことや、リモートからログインが不要なアカウントにはログイン制限をかけること、必要に応じてルーターやファイアウォールなどで外部からのTCP 3389番ポートに対してアクセス制御を行うことなどを推奨している。