Distributed via http://www.npa.go.jp/cyberpolice/ 平 成 27 年 3月 4日 インターネット観測結果等 (平成 27 年1月期) 宛先ポート 8118/TCP に対するアクセスが増加 Bash の脆弱性を悪用したアクセスが急激に増加 宛先ポート 23/TCP に対するアクセスが前期から高水準で推移 1 宛先ポート 8118/TCP に対するアクセスが増加 宛先ポート 8118/TCP に対するアクセスが平成 26 年 11 月中旬頃から観測され始め、12 月上旬 頃から平成 27 年 1 月中旬頃までアクセスが増加しています(図1)。 (件/日・IPアドレス) 30 25 20 15 10 5 1月30日 1月25日 1月20日 1月15日 1月10日 1月5日 12月31日 12月26日 12月21日 12月16日 12月11日 12月6日 12月1日 11月26日 11月21日 11月16日 11月11日 11月6日 11月1日 0 図1 宛先ポート 8118/TCP に対するアクセス件数の推移 8118/TCP は、「Privoxy」iが初期設定で使用するポートです。このポートに対するアクセスの内容 を確認したところ、HTTP リクエストで特定の URL にアクセスを試みているものが多くを占めており、 外部からの問合せに応答するプロキシサーバを探索しているものと考えられます。 i Privoxy はプライバシーを強化するための高度なフィルタリング機能を持つ非キャッシングプロキシ。 http://www.privoxy.org/ Copyright 2015 Cyber Force Center, NPA JAPAN 1 2 Bash の脆弱性を悪用したアクセスが急激に増加 宛先ポート 10000/TCP に対するアクセスを平成 26 年 12 月中旬頃から観測しはじめ、平成 27 年1月上旬頃から急激に増加しています(図2)。 (件/日・IPアドレス) 16 14 12 10 8 6 4 2 1月30日 1月25日 1月20日 1月15日 1月10日 1月5日 12月31日 12月26日 12月21日 12月16日 12月11日 12月6日 12月1日 11月26日 11月21日 11月16日 11月11日 11月6日 11月1日 0 図2 宛先ポート 10000/TCP に対するアクセス件数の推移 10000/TCP は、サーバ管理ソフトウェア Webmin が初期設定で使用するポートですが、このポー トに対するアクセスの内容を確認したところ、Bash の脆弱性がある国外の特定のメーカが製造する NAS 製品(以下「NAS 製品」という。)を標的としたと考えられるアクセスが多くを占めていました。 このアクセスの発信元 IP アドレスについて 8080/TCP ポートに接続して確認すると、当該 NAS 製品の管理画面が表示されるものが散見されたことから、当該 NAS 製品が踏み台となり Bash の脆 弱性を標的とした攻撃を更に別の当該 NAS 製品に対して行っていると考えられます。 また、前期iに増加した 8080/TCP に対するアクセスも継続して高い水準で観測しています(図 3)。 i 「インターネット観測結果等(平成 26 年 12 月期)」(平成 27 年1月 13 日) http://www.npa.go.jp/cyberpolice/detect/pdf/20150113.pdf Copyright 2015 Cyber Force Center, NPA JAPAN 2 (件/日・IPアドレス) 70 60 50 40 30 20 10 1月30日 1月25日 1月20日 1月15日 1月10日 1月5日 12月31日 12月26日 12月21日 12月16日 12月11日 12月6日 12月1日 11月26日 11月21日 11月16日 11月11日 11月6日 11月1日 0 図3 宛先ポート 8080/TCP に対するアクセス件数の推移 3 宛先ポート 23/TCP に対するアクセスが前期から高水準で推移 前期に引き続き、Telnet において使用される宛先ポート 23/TCP に対するアクセスが、高水準で 推移しました(図4)。 (件/日・IPアドレス) 350 300 250 200 150 100 50 12月1日 12月3日 12月5日 12月7日 12月9日 12月11日 12月13日 12月15日 12月17日 12月19日 12月21日 12月23日 12月25日 12月27日 12月29日 12月31日 1月2日 1月4日 1月6日 1月8日 1月10日 1月12日 1月14日 1月16日 1月18日 1月20日 1月22日 1月24日 1月26日 1月28日 1月30日 0 図4 宛先ポート 23/TCP に対するアクセス件数の推移 これらのアクセスの発信元の中には、NAS 製品の管理画面が表示されるものが存在しました。同 NAS 製品を踏み台として、リモートでログインできる機器を探索している行為が継続しているものと 考えられます。 Copyright 2015 Cyber Force Center, NPA JAPAN 3
© Copyright 2024 ExpyDoc
![2014年 12月 [PDF: 約36KB]](http://s3.expydoc.com/store/data/007487302_1-61642cf6cb03c649758f9486158ed152-250x500.png)
