Distributed via http://www.npa.go.jp/cyberpolice/ 平 成 26 年 12 月 18 日 インターネット観測結果等 (平成 26 年 11 月期) 宛先ポート 23/TCP に対するアクセスが大きく増加 NAS を対象とする攻撃を観測 1 宛先ポート 23/TCP に対するアクセスが大きく増加 今期は、Telnet において使用される 23/TCP を宛先ポートとするアクセスが大きく増加しました (図1)。 10月1日 10月3日 10月5日 10月7日 10月9日 10月11日 10月13日 10月15日 10月17日 10月19日 10月21日 10月23日 10月25日 10月27日 10月29日 10月31日 11月2日 11月4日 11月6日 11月8日 11月10日 11月12日 11月14日 11月16日 11月18日 11月20日 11月22日 11月24日 11月26日 11月28日 11月30日 (件/日・IPアドレス) 180 160 140 120 100 80 60 40 20 0 図1 宛先ポート 23/TCP に対するアクセス件数の推移(H26.10.1∼H26.11.30) 今期に観測した同アクセスを IP ヘッダの TTLiごとに集計した結果、90.2%のアクセスは TTL が 32 以上 64 未満となっていました(図2)。このため、観測したアクセスの大多数は、Linux が稼動し ているサーバや組込み機器等が発信元となっているものと推測されます。国内の発信元 IP アドレ スの中には、エネルギー管理システム(EMS)の管理画面が確認できたものも存在しており、同シス テムが踏み台となっている可能性もあることから注意喚起iiを実施しているところです。 i パケット送出時の TTL の初期値は Linux は 64、Microsoft Windows は 128 となっている。ただし、過去の古いバー ジョンの OS については、異なる値となっているものも存在する。 ii 「ビル等におけるエネルギー管理システムが踏み台となる危険性について」(平成 26 年 11 月 13 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20141113_2.pdf Copyright 2014 Cyber Force Center, NPA JAPAN 1 18% 16% 14% 12% 10% 8% 6% 4% 2% 0% 0 32 64 96 128 160 192 224 図2 宛先ポート 23/TCP に対するアクセスの TTL 別比率 また、観測された Telnet のログイン試行について、その ID とパスワードの組み合わせを集計した 結果においても、STBi、DVRii、IP カメラ、ルータ等の組込み機器の出荷時初期値と推測される組 み合わせを複数確認しています。 これらのことから、Telnet については、Linux サーバだけではなく、Linux ベースの組込み機器を 踏み台とした探索が多数行われているものと考えられます。また、探索対象についても、同様の機 器が狙われているものと推測されます。これらの機器を狙った攻撃については、これまでも複数回 に渡り注意喚起iii を実施しているところですが、引き続き攻撃活動が活発であることから、これらの 器に対する十分なセキュリティ対策が必要です。 i 「Set Top Box」の略。各種テレビ放送や、インターネット経由の放送を受信し、テレビで視聴を行うための装置。 「Digital Video Recorder」の略。特に監視カメラ等の映像記録に多用される。 iii 「ウェブカメラ等パソコン以外の電子機器をインターネット接続する際の注意事項について」(平成 25 年7月 26 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20130726_2.pdf 「インターネット観測結果等(平成 26 年2月期)」(平成 26 年3月 28 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20140328.pdf 「インターネット観測結果等(平成 26 年7月期)」(平成 26 年8月 27 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20140827.pdf ii Copyright 2014 Cyber Force Center, NPA JAPAN 2 2 NAS を対象とする攻撃を観測 今期は、国外の特定メーカが製造する NAS を標的とした攻撃行為を観測しました。同製品を対 象とした攻撃については、8080/TCP ポートで稼動しているウェブ管理画面を介した2種類の形態 が確認できています。 1つ目の形態は、平成 26 年9月に明らかとなった Bash の脆弱性(ShellShock)を悪用する攻撃手 法です。同社が販売する NAS にも当該脆弱性が存在することが公表され、修正プログラムが公開 されています。脆弱性公表直後の9月下旬に、同製品に存在する Bash の脆弱性を標的とした攻撃 が観測iされましたが、10 月には同攻撃は観測されませんでした。しかしながら、今期に入り、同攻 撃が再度観測されるようになりました(図3)。 (件/日・IPアドレス) 2.5 2 1.5 1 0.5 11月1日 11月2日 11月3日 11月4日 11月5日 11月6日 11月7日 11月8日 11月9日 11月10日 11月11日 11月12日 11月13日 11月14日 11月15日 11月16日 11月17日 11月18日 11月19日 11月20日 11月21日 11月22日 11月23日 11月24日 11月25日 11月26日 11月27日 11月28日 11月29日 11月30日 0 図3 NAS に対する Bash の脆弱性を悪用する攻撃の観測件数の推移 また、2つ目の形態は、パスワードを変化させログイン試行を繰り返す攻撃形態です。同攻撃は 特に 11 月 23 日に集中的に観測しており(図4)、約 60 種のパスワードを用いて、ログインを試みよ うとアクセスを繰り返していました。 i 「Bash の脆弱性を標的としたアクセスの観測について(第2報)」(平成 26 年 10 月7日) http://www.npa.go.jp/cyberpolice/detect/pdf/20141007.pdf Copyright 2014 Cyber Force Center, NPA JAPAN 3 (件/日・IPアドレス) 70 60 50 40 30 20 11月1日 11月2日 11月3日 11月4日 11月5日 11月6日 11月7日 11月8日 11月9日 11月10日 11月11日 11月12日 11月13日 11月14日 11月15日 11月16日 11月17日 11月18日 11月19日 11月20日 11月21日 11月22日 11月23日 11月24日 11月25日 11月26日 11月27日 11月28日 11月29日 11月30日 10 0 図4 NAS に対するパスワード探索を行う攻撃の観測件数の推移 近年の NAS 製品は高機能化が進み、インターネット経由で外部からアクセスして使用する機会 も増えつつあります。しかしながら、十分な対策を取らず不用意にインターネット上に公開すれば、 攻撃の対象となる可能性があることから注意する必要性があります。 Copyright 2014 Cyber Force Center, NPA JAPAN 4
© Copyright 2024 ExpyDoc
![2014年 12月 [PDF: 約36KB]](http://s3.expydoc.com/store/data/007487302_1-61642cf6cb03c649758f9486158ed152-250x500.png)
