JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は2月20日、「TSUBAMEレポート Overflow(2023年10~12月) - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、「インターネット定点観測レポート」に記載していない海外に設置されたセンサーの観測動向の比較や活動についてまとめた2023年10月から12月までの「TSUBAMEレポート」を公開した(参考:「マルウェアに感染したデジタルビデオレコーダーから大量の不審な通信、確認を - JPCERT/CC | TECH+(テックプラス)」)。
開発中の製品に対する侵害の可能性
JPCERT/CCはこの期間に、開発中とみられる製品の複数のポートが開放されていることを確認している。そして、製品のWebUIにアクセス可能であったことからメーカーを特定して連絡を取っている。メーカー側の話によると、この製品は他社の製品を組み込んだ製品であり、開発段階からインターネットに接続していたが、他社の製品のWebUIが公開されていることに気がついていなかったという。また不運なことに、このWebUIが侵入口となりマルウェアに侵害された可能性が高いこともわかったという。
JPCERT/CCは同様の事案が年に数件程度見られるとして、開発者に注意を呼びかけている。また、インターネットに接続する製品を開発する企業および開発者に対し、次の3点に注意することを推奨している。
- 他社の製品を組み込む場合は仕様を確認する
- 仕様上閉域網で済む場合は閉域網で構成し、グローバルIPアドレスを割り当てない(SIMカードの仕様は見落とされがちなので注意)
- 設置後はポートスキャンなどを実施して意図していないポートが開放されていないか確認する
国内外の観測動向の比較
国内外の観測動向の比較の概要は次のとおり。
- 国内外のセンサー1台あたりの受信パケット平均は、国内よりも海外のセンサーの方が多い
- 国内外ともに、ポート23/TCP、ポート6379/TCP、ポート22/TCP、ポート8080/TCP、ポート80/TCPへのスキャンが多く観測されている
JPCERT/CCは、この期間の観測からは特別な注意喚起が必要な状況には至っていないとしており、上記以外の情報発信は行っていない。しかしながら、今後不審なデバイスなどを検出した場合はデバイスのメーカーや所有者に連絡を取ることがあり、脆弱性情報や製品の利用などについて確認したいとして、可能な場合は対応を検討してほしいと呼びかけている。