Distributed via http://www.npa.go.jp/cyberpolice/ 平 成 27 年 1月 13 日 インターネット観測結果等 (平成 26 年 12 月期) 宛先ポート 8080/TCP に対するアクセスが増加 宛先ポート 23/TCP に対するアクセスが高水準で推移 脆弱性が公表されたルータを対象とするアクセスを観測 脆弱性が公表された CMSiを対象とするアクセスを観測 1 宛先ポート 8080/TCP に対するアクセスが増加 今期は、宛先ポート 8080/TCP に対するアクセスが大きく増加しました(図1)。 (件/日・IPアドレス) 70 60 50 40 30 20 10 12月1日 12月2日 12月3日 12月4日 12月5日 12月6日 12月7日 12月8日 12月9日 12月10日 12月11日 12月12日 12月13日 12月14日 12月15日 12月16日 12月17日 12月18日 12月19日 12月20日 12月21日 12月22日 12月23日 12月24日 12月25日 12月26日 12月27日 12月28日 12月29日 12月30日 12月31日 0 図1 宛先ポート 8080/TCP に対するアクセス件数の推移 これは、特定の NAS 製品に対する Bash の脆弱性を標的としたアクセスが、増加したことが原因 であると考えられますii。被害に遭った NAS 製品は、同様の脆弱性がある NAS 製品に対する探索・ 侵入行為を 8080/TCP ポートに対して行うため、観測したアクセスは、被害に遭った NAS 製品から のものが多いと考えられます。 i Contents Management System の略。ウェブサイトのコンテンツを管理するためのシステムで、専門的な知識が無 くても比較的簡単にウェブサイトのコンテンツ管理が可能です。 ii 「Bash の脆弱性を標的としたアクセスの観測について(第3報)」(平成 26 年 12 月9日) http://www.npa.go.jp/cyberpolice/detect/pdf/20141209-2.pdf Copyright 2015 Cyber Force Center, NPA JAPAN 1 2 宛先ポート 23/TCP に対するアクセスが高水準で推移 今期も前期iに引き続き、宛先ポート 23/TCP に対するアクセスが高水準で推移しました(図2)。 12月1日 12月2日 12月3日 12月4日 12月5日 12月6日 12月7日 12月8日 12月9日 12月10日 12月11日 12月12日 12月13日 12月14日 12月15日 12月16日 12月17日 12月18日 12月19日 12月20日 12月21日 12月22日 12月23日 12月24日 12月25日 12月26日 12月27日 12月28日 12月29日 12月30日 12月31日 (件/日・IPアドレス) 200 180 160 140 120 100 80 60 40 20 0 図2 宛先ポート 23/TCP に対するアクセス件数の推移 発信元 IP アドレスの中には、8080/TCP ポートにブラウザでアクセスすると、特定の NAS 製品の 管理画面が表示されるものが存在することを確認しています。8080/TCP は、特定の NAS 製品に存 在する Bash の脆弱性を標的としたアクセスにより増加しているポートであることから、Bash の脆弱性 により侵入し、NAS 製品を踏み台として Telnet でログインできる機器を探索しているものと考えられ ます。 3 脆弱性が公表されたルータを対象とするアクセスを観測 平成 26 年 12 月に、多くのルータに、脆弱性が存在するファームウェアが実装されており、第三 者に管理権限を取得される可能性があることが公表されましたii。この脆弱性は、2005 年に修正さ れている古いものですが、複数のルータでは、未だに古いバージョンのファームウェアが使用され ており、全世界で 1,200 万台以上が攻撃可能となっていると指摘されています。この脆弱性は、 「Misfourtune Cookie」と呼ばれています。 警察庁では、脆弱性が公表され以降の 12 月 23 日の短時間に、特定の IP アドレスから、脆弱性 のあるルータを探索していると思われるアクセスを観測しました(図3)。このアクセスは、全て宛先ポ ート 80/TCP に対して行われていました。 i 「インターネット観測結果等(平成 26 年 11 月期)」(平成 26 年 12 月 18 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20141218.pdf ii 「メディア・アラート:チェックポイント、一般家庭/小規模企業向けインターネット・ルータ数百万台の乗っ取りを可 能にする深刻な脆弱性を発見」(平成 26 年 12 月 24 日) https://www.checkpoint.co.jp/pr/2014/20141224_mediaalart_Misfortune_Cookie.html 「JVNVU#96446762 複数のブロードバンドルータに、脆弱性が存在するバージョンの Allegro RomPager を使用し ている問題」(平成 26 年 12 月 22 日) https://jvn.jp/vu/JVNVU96446762/ Copyright 2015 Cyber Force Center, NPA JAPAN 2 6 (件/日・IPアドレス) 5 4 3 2 1 12月1日 12月2日 12月3日 12月4日 12月5日 12月6日 12月7日 12月8日 12月9日 12月10日 12月11日 12月12日 12月13日 12月14日 12月15日 12月16日 12月17日 12月18日 12月19日 12月20日 12月21日 12月22日 12月23日 12月24日 12月25日 12月26日 12月27日 12月28日 12月29日 12月30日 12月31日 0 図3 脆弱性が公表されたルータを対象とするアクセス件数の推移 4 脆弱性が公表された CMS を対象とするアクセスを観測 平成 26 年 10 月に、CMS のひとつ Drupaliに SQL インジェクションの脆弱性が存在することが公 表されましたii。この脆弱性が悪用されると、バックドアが作成されたり、ウェブサイトが改ざんされた りする可能性があります。 警察庁では、10 月及び 11 月には、この CMS を対象としたアクセスは観測されませんでしたが、 12 月には、特定の IP アドレスからのアクセスを観測しています(図4)。このアクセスの宛先ポートは、 全て SSL で使用されるポート 443/TCP でしたが、実際の通信内容は、暗号化されていない HTTP リクエストでした。脆弱性が存在する CMS が稼動しているウェブサイトの探索を行っているものと思 われます。このように、脆弱性が公表された直後に、攻撃や探索行為が観測されなくても、ある程 度の期間を空けて観測される場合もあるので、セキュリティ修正プログラムの適用を確実に行うなど のセキュリティ対策を実施することが重要です。 i PHP で記述されたオープンソースとして開発・配布が行われている CMS http://drupal.jp/ ii 「JPCERT/CC Alert Drupal の脆弱性に関する注意喚起」(平成 26 年 10 月 21 日) https://www.jpcert.or.jp/at/2014/at140042.html Copyright 2015 Cyber Force Center, NPA JAPAN 3 12月1日 12月2日 12月3日 12月4日 12月5日 12月6日 12月7日 12月8日 12月9日 12月10日 12月11日 12月12日 12月13日 12月14日 12月15日 12月16日 12月17日 12月18日 12月19日 12月20日 12月21日 12月22日 12月23日 12月24日 12月25日 12月26日 12月27日 12月28日 12月29日 12月30日 12月31日 (件/日・IPアドレス) 0.8 0.7 0.6 0.5 0.3 0.4 0.2 0.1 0 図4 脆弱性が公表された CMS(Drupal)を対象とするアクセス件数の推移 Copyright 2015 Cyber Force Center, NPA JAPAN 4
© Copyright 2024 ExpyDoc
