マルウェアに感染したデジタルビデオレコーダーから大量の不審な通信、確認を - JPCERT/CC
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)はこのほど、「インターネット定点観測レポート(2023年 10〜12月)」において、2023年10月から12月までの期間にインターネット上に発信されたパケットの観測レポートを発表した。同レポートはインターネット上に分散配置された複数の観測用センサーを用いて、一定のIPアドレス帯に向けて発信されるパケットを収集、分析したものであり、JPCERT/CCはこれらデータからサイバー攻撃の準備活動などの捕捉に努めている。
○「インターネット定点観測レポート」の概要
2023年10月から12月までの3か月間で観測された国内の通信サービスの上位5つは次のとおり。
telnet (port 23、protocol TCP)
ssh (port 22、protocol TCP)
redis (port 6379、protocol TCP)
http-alt (port 8080、protocol TCP)
http (port 80、protocol TCP)
同期間に国内を対象として探索を行った探索元地域について、活動が活発だった上位5つは次のとおり。
米国
中国
ドイツ
オランダ
ブルガリア
○国内からの探索パケット
同レポートでは、国内から発信される探索パケットの観測データについても触れている。2023年10月から12月までに観測された国内から発信される探索パケットの上位5つのサービスは次のとおり。
telnet (port 23、protocol TCP)
ssh (port 22、protocol TCP)
Microsoft-ds (port 445、protocol TCP)
56575 (port 56575、protocol TCP)
37215 (port 37215、protocol TCP)
1位、2位は全体の観測順位と同じで、その発信元デバイスの一部は無線LANルータやデジタルビデオレコーダー(DVR: Digital Video Recorder)だったという。3位はWindowsファイル共有などで使用されるMicrosoft-dsとなった。4位、5位はウェルノウンポート(well-known ports)ではないためサービスの種類はわからないが、JPCERT/CCの調査により、発信元のデバイスの多くはDVRであったことが確認されている。1位から5位の多くはマルウェアなどに侵害された通信機能を持つデバイスが発信元だったと推測されている。
JPCERT/CCは、「56575/TCP」の動向について、ほぼすべてのDVRが送信元となっていることを確認し、これらのDVRでは、インターネット経由で侵害を受けた結果、何らかのマルウェアが埋め込まれて動作しているとの見方を示している。
○JPCERT/CCの調査に協力を
JPCERTコーディネーションセンターは本件活動の一環として、侵害された機器の利用者に対しISPを通じて感染の確認と対応をお願いすることがあるとしている。このような依頼を受け取ったユーザーには、使用している製品、ファームウェアバージョン、侵害の有無などの情報提供をお願いすることがあるという。これまでに不明な探索活動が複数確認されているため、これらの実態解明に協力してほしいと呼びかけている。
○「インターネット定点観測レポート」の概要
2023年10月から12月までの3か月間で観測された国内の通信サービスの上位5つは次のとおり。
telnet (port 23、protocol TCP)
ssh (port 22、protocol TCP)
redis (port 6379、protocol TCP)
http-alt (port 8080、protocol TCP)
http (port 80、protocol TCP)
同期間に国内を対象として探索を行った探索元地域について、活動が活発だった上位5つは次のとおり。
米国
中国
ドイツ
オランダ
ブルガリア
○国内からの探索パケット
同レポートでは、国内から発信される探索パケットの観測データについても触れている。2023年10月から12月までに観測された国内から発信される探索パケットの上位5つのサービスは次のとおり。
telnet (port 23、protocol TCP)
ssh (port 22、protocol TCP)
Microsoft-ds (port 445、protocol TCP)
56575 (port 56575、protocol TCP)
37215 (port 37215、protocol TCP)
1位、2位は全体の観測順位と同じで、その発信元デバイスの一部は無線LANルータやデジタルビデオレコーダー(DVR: Digital Video Recorder)だったという。3位はWindowsファイル共有などで使用されるMicrosoft-dsとなった。4位、5位はウェルノウンポート(well-known ports)ではないためサービスの種類はわからないが、JPCERT/CCの調査により、発信元のデバイスの多くはDVRであったことが確認されている。1位から5位の多くはマルウェアなどに侵害された通信機能を持つデバイスが発信元だったと推測されている。
JPCERT/CCは、「56575/TCP」の動向について、ほぼすべてのDVRが送信元となっていることを確認し、これらのDVRでは、インターネット経由で侵害を受けた結果、何らかのマルウェアが埋め込まれて動作しているとの見方を示している。
○JPCERT/CCの調査に協力を
JPCERTコーディネーションセンターは本件活動の一環として、侵害された機器の利用者に対しISPを通じて感染の確認と対応をお願いすることがあるとしている。このような依頼を受け取ったユーザーには、使用している製品、ファームウェアバージョン、侵害の有無などの情報提供をお願いすることがあるという。これまでに不明な探索活動が複数確認されているため、これらの実態解明に協力してほしいと呼びかけている。
