警察庁、「Mirai」亜種の感染狙うアクセス増加を観測、複数のIoT機器の脆弱性が標的に

複数のIoT機器等の脆弱性を標的としたアクセスの宛先ポート別推移

　複数のIoT機器の既知の脆弱性を標的としたアクセスが増加したとして、警察庁が注意を呼び掛けている。同庁のインターネット定点観測で、各アクセスの宛先ポート別推移（2019年11月1日～2020年1月18日）や各アクセスの内容についてレポートとしてまとめている。

　主にIoTマルウェア「Mirai」の亜種の感染を狙った11種類のアクセスを確認した。これらのアクセスでは、IoT機器などの脆弱性を悪用して「Mozi.m」「Mozi.a」という名称のファイルをダウンロードさせて実行を試みるものだった。

　主にDSLモデムやGPONルーター、D-LinkやNETGEAR、ファーウェイ社製のルーター、Realtek社製SDKなどの脆弱性を狙ったアクセスが確認されている。コマンド実行の脆弱性や、コマンドインジェクションの脆弱性などを狙ったものだった。

D-Link社製のルーターの任意のコマンドを実行される脆弱性を悪用したアクセスの宛先ポート別推移

NETGEAR社製ルーターのコマンドインジェクションの脆弱性を悪用したアクセスの宛先ポート別推移

ファーウェイ社製ルーターの脆弱性を悪用したアクセスの例

Realtek社製SDKの脆弱性を悪用したアクセスの宛先ポート別推移

　IoT機器などを標的とした感染活動は継続して観測されていることから、セキュリティ対策として、ファームウェアのアップデートや、自動アップデート機能を有効にすること、ユーザー名やパスワードは必ず推測されにくいものに変更するよう推奨している。

DVR機器の脆弱性を標的としたアクセスの増加も確認

DVR/NVR/IPC機器のAPIの脆弱性を標的とした宛先ポート別アクセスの推移

　2019年10月以降は、デジタルビデオレコーダー（DVR）、ネットワークビデオレコーダー（NVR）、IPカメラ（IPC）のAPIの脆弱性を標的としたアクセスの増加を観測している。

　脆弱性を悪用したリバースシェルによる遠隔接続とみられるもので、海外の共有ウェブサービスで公開されている実証コードに類似するものだった。

　今回確認したのは、Shenzhen TVT Digital Technology製のDVR「NVMS-9000」を標的としたアクセスだったが、リモートからアクセス可能なIoT機器は、脆弱性があると攻撃者に悪用され、遠隔から任意のコードを実行される恐れがあると警察庁は注意を促す。

「Apache Solr」を標的とした探索行為などのアクセスも増加

Apache Solrを標的とした探索行為や脆弱性の悪用を試みていると考えられるアクセス件数の推移

　このほか、2019年9月にはオープンソースの検索プラットフォーム「Apache Solr」を標的とした探索行為や脆弱性の悪用を試みたものとみられるアクセスの増加を観測している。

　具体的には、「DataImportHandler」と呼ばれるデータベースやその他データソースからデータを取り込む機能に存在する脆弱性（CVE-2019-0193）を悪用し、不正プログラムのダウンロードや実行を試みるものが観測されている。

　また、「Velocity Response Writer」と呼ばれる機能を通じて、遠隔から任意のコードが実行可能な脆弱性（CVE-2019-17558）が同年12月30日に公表されているが、同脆弱性の有無を確認しているものとみられるアクセスも観測された。

　Apache Solrは信頼された相手とのみ通信できるようにネットワーク設定を確認すること、脆弱性の対象となるバージョンを使用している場合は、セキュリティパッチを適用するか、修正されたバージョンへの更新を実施するよう呼び掛けている。