ニュース

TCP 23番ポートへのアクセスが増加、Linux機器の探索か〜警察庁観測レポート

 全国の警察施設のインターネット接続点に設置したセンサーによる観測で、11月にはTCP 23番ポートに対するアクセスが大きく増加したほか、NASを対象とする攻撃が観測されたとする調査結果を、警察庁が公表した。

 Telnetで使用されるTCP 23番ポートに対するアクセスについては、IPヘッダーのTTLの傾向などから、観測したアクセスの大多数はLinuxが稼働しているサーバーや組み込み機器が発信元になっていると推測された。また、国内の発信元IPアドレスの中には、ビルなどにおけるエネルギー管理システム(EMS)の管理画面が確認できたものも存在しており、警察庁では注意喚起を行っている。

TCP 23番ポートに対するアクセス件数の推移(警察庁発表資料より)

 観測されたTelnetのログイン試行については、そのIDとパスワードの組み合わせを集計した結果においても、セットトップボックスや、監視カメラの記録に利用されるデジタルビデオレコーダー、IPカメラルーターなどの組み込み機器の出荷時初期値と推測される組み合わせが複数確認された。

 このことから、TelnetについてはLinuxサーバーだけでなく、Linuxベースの組み込み機器を踏み台とした探索が多数行われていると分析。探索対象についても、同様にLinuxサーバーやLinuxベースの組み込み機器が狙われていると推測されるとして、注意を呼び掛けている。

 また、11月には国外の特定メーカーが製造するNASを標的とした攻撃が観測された。この攻撃については、TCP 8080番ポートで稼働しているウェブ管理画面を介した2種類の形態が確認されている。1つ目の形態は、9月に明らかとなったbashの脆弱性を悪用するもので、メーカーからは脆弱性の修正プログラムが提供されている。この攻撃は9月下旬に観測され、10月には観測されなかったが、11月に入って再び観測されるようになった。

 2つ目の形態は、パスワードを変化させログイン試行を繰り返す攻撃で、特に11月23日に集中して攻撃が観測され、約60種類のパスワードを用いてログインが試行されていた。

 警察庁では、近年のNASは高度化が進み、インターネット経由で外部からアクセスして使用する機会も増えつつあるが、十分な対策を取らず不用意にインターネット上に公開すれば、攻撃の対象となる可能性があることに注意が必要だとしている。

(三柳 英樹)