IoTマルウェア「Mirai」関連のパケットが減少、ISPやユーザーの対策実施により（JPCERT/CC定点観測レポート）

　一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）は、国内に設置されたセンサーで2019年4月～6月に観測されたパケットの分析結果をまとめた「インターネット定点観測レポート」を公開した。

　同期間中に観測されたパケットの宛先ポート番号の順位については、1位の「23/TCP（telnet）」、2位の「445/TCP（microsoft-ds）」は前四半期（2019年1月～3月）と変わらず、3位が「37215/TCP」（前四半期トップ10外）、4位が「22/TCP（ssh）」（前四半期5位）、5位が「80/Tcp（http）」（前四半期6位）だった。

　同期間中ほぼ一定数の445/TCP宛のパケットが観測されており、その数が一時的に23/TCP宛のパケットを上回る期間もあった。37215/TCP宛のパケットは、5月14日ごろから約1カ月間に観測数が増加して3位に上がった。

上位5位までの宛先ポート番号パケット観測数推移

　送信元を地域別に見ると、1位のロシア、2位の米国、3位の中国、4位のオランダは前四半期から順位は変わらず、5位が台湾（前四半期トップ10外）だった。5月12日ごろには台湾地域からのパケットが増加。37215/TCP宛が最も多く、台湾を送信元とするパケットの約7割を占めた。

上位5位までの送信元地域別のパケット観測数推移

製品ベンダーやISPが対策実施呼び掛け、ユーザーによる対策も進み「Mirai」関連パケットが減少

　日本を送信元としたパケットの動向については、2017年11月以降、23/TCP宛が最も多く、その大部分はMiraiおよびその亜種に感染した機器によるものだった。JPCERT/CCによると、製品ベンダーやISPなどが対策実施を呼び掛け、ユーザーによるアップデートや機器の交換などの対策が進むことで減少したという。一方、445/TCP宛のパケットが少しずつ増加し、これが一時的には上回る時間帯も出てきた。

日本を送信元とした宛先ポート番号別パケット観測数

　観測されている445/TCP宛のパケットには、TCPパケットのウィンドウサイズにある特徴があった。送信元の一部を確認したところ、古いバージョンを含む複数のWindows OSが確認されたが、特定のバージョンやマシンの利用用途に偏っていると言った特徴は見られなかった。

23/TCPと445/TCP宛のパケットの推移

　同ポートを通じて広く行われた攻撃事例については、サーバー上で設定されている脆弱なアカウントのパスワード認証を突破し、システム上でマルウェアを実行・感染させる手口や、Windowsの既知の脆弱性を悪用することでサーバーにマルウェアを感染させる手口がある。その1つにWannaCryがあり、WannaCryが送信するTCPパケットのウィンドウサイズの値には、今回観測されているものと同じ特徴があった。JPCERT/CCでは、今回観測したパケットがマルウェアに感染したWindowsサーバーから感染範囲を拡大するためのものと推測している。

3389/TCP宛のパケットが増加、脆弱性情報公開の影響か

　2019年5月14日ごろから約10日間、3389/TCP宛のパケットの増加が観測された。主な送信元は中国、米国、オランダなど。

　マイクロソフトのRemote Desktop Service（CVE-2019-0708）の脆弱性情報の公開直後から約2週間、パケットの観測数が増加したことから、同脆弱性に関する情報の公開が影響した可能性があるという。

　なお、同脆弱性については、Windows XPやWindows Server 2003も影響を受けるが、これらのOSに対してもマイクロソフトから異例のセキュリティ更新プログラムが公開されている。

　2020年1月14日には、Windows Server 2008/Windows Server 2008 R2のサポートが終了するため、身の回りで稼働している機器のWindowsがサポート対象か、セキュリティ更新が適切に実施されているか、不要なポートを開けたままにしていないか確認するようJPCERT/CCは呼び掛けている。