ニュース

4567/TCPポートに対する「Miraiボット」のアクセス増加、警察庁が注意喚起

4567/TCPポートに対する「Miraiボット」の特徴を有する宛先ポート別アクセス件数の推移(2019年12月28日~2020年2月5日)

 4567/TCPポートに対する「Miraiボット」の特徴を持つアクセスが増加したとして、警察庁が注意を呼び掛けている。

 同庁のインターネット定点観測において、2019年12月下旬から4567/TCPポートに対するアクセスの増加を観測した。当該アクセスは宛先IPアドレスとTCPシーケンス番号の初期値が一致するMiraiボットの特徴が見られたという。

 観測したアクセスの中には、特定の文字列が含まれており、海外の共有ウェブサービスで当該アクセスと関連する実証コード(PoC)が掲載されていることを確認している。これらのアクセスは、特定のデジタルビデオレコーダー(DVR)に対してリモートから特定の文字列を送信することにより、ID・パスワードを窃取することができる脆弱性を悪用したものとみられる。

 4567/TCPポートに対するアクセスの送信元IPアドレスを調査したところ、IPカメラや海外製DVRなどのIoT機器のログイン画面が表示された。送信元IPアドレスからの他の宛先ポートへのアクセスを確認したところ、23/TCP、80/TCP、8080/TCPポートなどへのアクセスも観測された。

送信元となっているIoT機器のログイン画面の例
4567/TCPポートに対するアクセスの送信元IPアドレスからの他の宛先ポートへのアクセス件数の推移(2019年12月1日~2020年2月5日)

 不正プログラムに感染したボットが感染拡大を目的に4567/TCPポートを使用するIoT機器を感染対象にしている可能性がある。警察庁はIoT機器の利用者に対して、製造元のウェブサイトなどの脆弱性情報に注意を払い、最新のファームウェアを適用すること、ユーザー名やパスワードは初期設定のまま使用しないこと、サポートが適用される製品を使用するよう呼び掛けている。

PJL対応のプリンターを標的としたアクセスも増加

 警察庁ではこのほか、「PJL(Printer Job Language)」を標的とした探索行為と思われるアクセスの増加を観測した。PJLはヒューレット・パッカードによって策定されたプリンターのジョブ制御を行う言語で、ヒューレット・パッカード以外のプリンターでも対応するものがある。

 観測したアクセスはプリンターなどの情報を要求するものや設定の変更を試みるものだった。情報処理推進機構(IPA)によると、PJLを悪用することにより、プリンターの設定や印刷したデータなどを不正に取得したり、プリンター内に記録されているデータを改ざんすることも可能だという。

 PJL対応のプリンターや複合機を使用している場合は、インターネットからアクセスできないようにファイアウォールやルーターの設定を変更すること、インターネットからのアクセスを許可する場合は、必要なIPアドレスのみに限定し、VPNを用いて接続するよう推奨している。

PJL(Printer Job Language)に応答する機器を標的としたアクセス行為の推移(2020年1月1日~2月5日)

「Linear eMerge E3シリーズ」の脆弱性を狙い、不正プログラムのダウンロードを試みるアクセスを観測

 また、Nortekが提供するアクセスコントロールプラットフォーム「Linear eMerge E3シリーズ」に存在する脆弱性を標的としたアクセスも観測された。同プラットフォームは部屋の入退室を管理するドアシステムなどで利用されている。

 脆弱性情報(CVE-2019-7256)は2019年7月2日に公表されており、警察庁では2020年1月9日以降に同脆弱性を標的としたアクセスの増加を観測した。悪用された場合、攻撃者により遠隔から任意のOSコマンドを実行される可能性がある。

80/TCPポートに対する「Linear eMerge E3シリーズ」の脆弱性を標的としたアクセスの推移(2020年1月1日~2月5日)

 観測したアクセスは、同脆弱性を悪用してOSコマンドを実行させることで、外部サーバーから不正プログラムのダウンロードや実行を試みるものだった。不正プログラムはMiraiまたはその亜種に感染させるものとみられる。

 送信元IPアドレスからの他の宛先ポートへのアクセスを確認したところ、、60001/TCP、23/TCPポートへのアクセスも観測された。不正プログラムに感染したボットが標的を追加し、感染活動を活発化させたものとみられる。
 脆弱性が存在する場合は最新のファームウェアを適用し、必要な設定変更などの適切な対策を実施すること、インターネットからのアクセスを許可する場合は必要なポートのみに限定することを警察庁では推奨している。