Malwarebytesはこのほど、「Port scan attacks: Protecting your business from RDP attacks and Mirai botnets」において、ポートスキャン攻撃による脅威について伝えた。

  • Port scan attacks: Protecting your business from RDP attacks and Mirai botnets

    Port scan attacks: Protecting your business from RDP attacks and Mirai botnets

ポートスキャン攻撃はネットワークを系統的にスキャンしてオープンなポートを探し出して悪用し、不正アクセスを行ったり、システムの脆弱性に関する情報を収集したりするサイバー犯罪行為。最も頻繁にサイバー犯罪者に利用されるポートスキャン攻撃として、RDPポートスキャナとMiraiボットネットが挙げられている。

サイバー犯罪者は侵害されたサーバからRDPポートスキャナを使用してRDPのデフォルトポートであるTCP(3389)をインターネット上で探し出す。脆弱なサーバにあるオープンなRDPポートを検出した攻撃者はブルートフォース攻撃で侵入を試み、最終的にRDPのログイン情報を見つけ、システムへのアクセス権を獲得すると説明している。

RDP以外にもFTP(20/21)、POP3(110/995)、IMAP(143/993)、SMTP(25/465/587)、SQL(1433/1434/3306)などのさまざまなネットワークプロトコルに対してポートスキャナが実行される。これらのネットワークプロトコルがサイバー犯罪者に使われ、システムの侵入後にさまざまなマルウェアが展開されてしまう。

MiraiはIPカメラやルータなど、インターネットに接続されたIoT (Internet of Things)機器を標的とするボットネット。Telnet(23/2323)サーバをインターネット上で積極的にスキャンし、発見すると既知のデフォルト認証情報を使用して認証を試みようとする。IoTデバイスにはadminユーザのようなデフォルトの認証情報が設定されており、多くのIoTデバイスが認証情報をデフォルトから変更していないため、その認証がMiraiに悪用されてしまう。

Miraiは悪意のあるログインに成功するとデバイスを侵害し、既存のボットネットに統合する。その後、デバイスは分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)に使われたり、スパムメールの配信などに悪用される。

ポートスキャン攻撃による脅威は深刻なセキュリティリスクの一つとされている。機密情報の漏洩やシステムの停止など、重大な被害を引き起こす可能性があるため、脆弱なポートを閉じたりセキュリティソリューションを導入したりするなど、ポートスキャン攻撃を防止する対策を実施することが望まれている。