マルウェア感染IoT機器のアクセス急増--「Mirai」や亜種の影響拡大か

ZDNET Japan Staff

2017-03-23 13:31

 警察庁が3月22日に発表したインターネット定点観測システムによる2月度の観測状況によると、マルウェアに感染したIoT機器が発信元とみられるアクセスが急増した。同庁では、その多くがマルウェア「Mirai」やその亜種による影響を分析している。

 同庁によると、1月下旬頃から2月にかけて5358/TCPポートをあて先とするアクセスの急増が続いた。このうち約52%は、23/TCPポートにもアクセスしており、同庁がウェブブラウザ経由で発信元のIPアドレスにアクセスしたところ、ネットワークカメラやルータなどのネットワーク機器のログイン画面が表示された。


5358/TCPポートに対するアクセス件数の発信元国・地域別推移(出典:警察庁)

 これらのアクセスでは、Miraiの特徴となるあて先のIPアドレスとTCPシーケンス番号の一致がみられなかったという。同庁ではアクセス元のIoT機器に感染しているのが、Miraiとは異なるマルウェアと推測する。

 また、2月6日頃からは32/TCPおよび3232/TCPポートをあて先とするアクセスが急増。これらのアクセスについては、99%以上でMiraiの特徴が認められ、23/TCPおよび2323/TCPポートに対してもアクセスしていたことが分かった。さらに、2月3日頃からは19058/TCPに対するアクセスも増加していた。同庁が発信元のIPアドレスにアクセスしたところ、同様にネットワーク機器のログイン画面が表示された。同庁ではこれらのアクセスの急増が、Miraiやその亜種によるものと分析している。

 IoT機器への感染を狙うマルウェア活動では、DDoS(分散型サービス妨害)攻撃などを仕掛ける巨大なボットネットを形成する目的があるとみられている。Miraiは2016年夏にソースコードがインターネット上に公開されたことで、これをもとにした亜種が多数開発されているもようだ。これらの多くは、IoT機器で広く採用されているLinuxを対象にしているが、トレンドマイクロによると、最近ではWindows環境を踏み台にして感染先を探索する亜種も確認されている。

 警察庁は、IoT機器のユーザーに対して総合的なセキュリティ対策の実施を呼び掛ける。主な対策として(1)初期設定のユーザーとパスワードを推測されにくいものに変更する、(2)IoT機器のインターネット接続はルータなどを経由する、(3)ファイアウォールなどで不必要な外部からのアクセスを遮断する、(4)特定のIPアドレスにのみアクセスを許可するなどの制限を行う、(5)脆弱性がある場合はファームウェアアップデートなどの適切に行う――を挙げている。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]