Linux機器を狙ったTCP 23番ポートへのアクセスが急増、機器を乗っ取ってボット化し、DDoS攻撃などの温床にも

　警察庁は15日、インターネットに接続された組込Linux機器を標的とした攻撃を観測したとして注意を促した。TCP 23番ポートに対するアクセスが大きく増加しているという。同ポートへのアクセスは2014年以降、高い水準で推移しており、警察庁では以前にも同ポートへのアクセス増加に対して注意を促していた。

TCP 23番ポートへのアクセス件数の推移

　TCP 23番ポートは、ネットワークに接続された機器を遠隔で操作するTelnetで利用されている。増加したアクセスの多くは、ルーター、ウェブカメラ、ネットワークストレージ、デジタルビデオレコーダーなどの、Linuxが組み込まれた機器が発信元であることが確認されている。これらの機器は、何らかの手法により攻撃者に乗っ取られ、攻撃の踏み台として悪用されているものとみられる。

　警察庁で同ポートへのアクセスを分析したところ、不正プログラムをダウンロードして実行させる攻撃の存在を確認。不正プログラムは、一般的なコンピューターで使用される「x86」ではなく、「ARM」「MIPS」「PowerPC」「SuperH」などのCPUで動作するLinuxに感染する。いずれも組込機器の多くで採用されているCPUであり、そうしたデバイスを標的にしているという。

組込機器を標的とした攻撃と感染の拡大を示した図

　不正プログラムに感染すると、TelnetやHTTPによりC&Cサーバーに接続し、攻撃者からの命令に基づいて動作するボットとして機能する。感染した機器は、感染拡大を狙った探索（Telnet探索やUDP 53413番ポートへのアクセス）を行うという。このほか、DDoS攻撃やスパムメールの送信などに悪用される可能性も指摘している。

　なお、UDP 53413番ポートは国外の特定メーカーが製造するルーターで使用されているポートであり、同ポートへのアクセスは、該当するルーターを探索している可能性が高い。警察庁によると、このルーターには脆弱性が存在することが報告されており、攻撃者が脆弱性を突いて、ボットの感染拡大を図っているとみられている。同ポートは11月下旬からアクセス件数が増加している。

UDP 53413番ポートに対するアクセス件数の推移

　これら組込機器は、処理能力の低下などの異常にユーザーが気付きにくい場合が多く、不正プログラムへの感染や攻撃を受けている状況を把握するのが困難だとしている。警察庁では、利用している機器の最新のセキュリティ情報の確認を勧めており、サポートが終了した製品の利用は、脆弱性の修正が行われないため、非常に危険だとしている。