警察庁は3月12日、仮想通貨の発掘が目的と見られる不審な通信を1月から観測し続けていると発表し、注意喚起を行った。これらの通信は仮想通貨「Ethereum」を発掘するソフトウェア「Claymore」やAndroidの悪用を試みるという。
Claymoreを狙う通信は、1月8日頃から増加した。Claymoreの管理ポートで使われるTCPの3333ポートに対してJSON-RPC経由でEthereumのアカウントリストを調査するアクセスが行われている。
3333ポート対するアカウントリストを調査するアクセス件数の発信元国・ 地域別推移(出典:警察庁)
警察庁の分析では、発信元からはIoTマルウェア「Satori」や「Okiru」など「Mirai」の亜種とされるマルウェアの拡散を狙うTCPのポート37215およびポート52869へのアクセスも確認され、2017年末頃から複数の攻撃活動が同時並行的に展開された可能性がうかがえる。
警察庁は、ClaymoreのJSON-RPCのAPI利用者に対して下記の対策を推奨。同時に、IoT機器へのマルウェア感染を狙う攻撃への対策にも言及している。
- サーバなどをインターネット接続する場合はルータなどを使用する
- ファイアウォールなどで不必要な外部からのアクセスを遮断する
- 特定のIPアドレスのみにアクセスを許可するなど、適切なアクセス制限を実施する
- IoT機器をインターネット接続する場合もサーバと同様の対策を実施する
- 製造元のウェブサイトなどで脆弱性情報を確認し、脆弱性がある場合はファームウェアのアップデートなどを行う
- ユーザー名やパスワードは初期設定のままにせず、必ず推測されにくいものに変更する
- 製造終了から年月が経過した古い製品で脆弱性対策ができない場合は使用を中止する
また、警察庁では2月頃からAndroid Debug Bridge(ADB)で使用するTCPの5555ポートに対するアクセスも観測しているといい、仮想通貨の発掘するマルウェア「ADB.Miner」の感染が目的だと見られている。
5555ポートに対するADB のCONNECT メッセージの観測件数の推移(出典:警察庁)
通常、ADBはAndroid端末とPCなどをUSBケーブルで物理的に接続して利用するが、ワイヤレス接続でも利用できる。不審な通信は、5555ポートに対してADBのCONNECTメッセージを送信して、ポートが有効であるかを調査している可能性があるという。
2月にADB.Minerの感染攻撃を報告した奇虎360(Qihoo 360)によれば、攻撃対象のAndroid端末は主にテレビやセットトップボックス(STB)とみられ、ADB.Minerは感染先の機器で仮想通貨「Monero」を発掘する。
警察庁では下記の対策を推奨している。
- 機器上で身に覚えのないアプリケーションが動作していないか確認する
- 機器のデータ通信量が利用状況から考えて妥当な範囲内であるか確認する
- 機器をインターネット接続する場合は可能な限りルータなどを使用する
- ファイアウォールなどで不必要な外部からのアクセスを遮断する
