JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は10月31日、「インターネット定点観測レポート(2023年 7~9月)」において、2023年7月から9月のインターネット上に発信されるパケットの観測レポートを発表した。これはインターネット上に分散配置された複数の観測用センサーを用いて、一定のIPアドレス帯に向けて発信されるパケットを収集、分析したものであり、JPCERT/CCはこのデータからサイバー攻撃の準備活動などの捕捉に努めているとしている。

  • インターネット定点観測レポート(2023年 7~9月)

    インターネット定点観測レポート(2023年 7~9月)

レポートによると、7月から9月までの3カ月間で探索が行われた国内の通信サービスの上位5つは次のとおり。

  1. telnet (port 23、protocol TCP)
  2. redis (port 6379、protocol TCP)
  3. http (port 80、protocol TCP)
  4. ssh (port 22、protocol TCP)
  5. http-alt (port 8080、protocol TCP)

同期間に国内を対象として探索を行った地域について、活動が活発だった上位5つは次のとおり。

  1. 米国
  2. オランダ
  3. ブルガリア
  4. 中国
  5. ロシア

このレポートでは、IoTデバイスを主な標的とするボットネット型マルウェア「Mirai」およびその亜種と、それ以外のマルウェアの活動を推測して分類している。このうち、Miraiではないと考えられる活動の分析では、通常見られるサービスの探索だけではなく広範囲のポートに対して探索が確認されたという。広範囲にわたって探索している理由は不明としつつ、探索元のデバイスが台湾メーカーのNASや無線LANルータなどであることから、これら機器がMirai以外のマルウェアに感染している可能性を指摘している。

レポートでは、これら感染が疑われる機器がインターネット上に公開しているWebページ(管理画面のログインページ)を複数公開している。主にQNAP、Synology、TP-Linkの製品と思われる日本語のログインページが公開されており、国内に設置されている機器が侵害されているものとみられる。これらメーカーの機器を管理しているユーザーは、機器が侵害されていないかを確認し、製品のアップデートとログインページをインターネット上に公開しないよう対策することが望まれている。

JPCERT/CCは、侵害された機器の利用者に対し、ISPを通じて感染の確認と対応をお願いすることがあるとしている。特に、Miraiではないマルウェアに感染していると思われる不明な探索活動を行う機器に関しては、その解明の糸口につながるとして情報提供に協力してほしいとしている。