警察庁のサイバーフォースセンターの@police

警察庁のサイバーフォースセンター(サイバーテロ対策技術室)では、全国の警察施設のインターネット接続点にセンサーを設置、定点観測を実施しWebサイト「@police」でその動向を公表している。12月の観測では、IoT機器を悪用してボットネットを構築、大規模な攻撃を可能とするマルウェア「Mirai」の亜種の感染活動と思われる顕著な動きがあったことを発表している。

12月の定点観測では、12月10日ごろからポート番号37777/TCPに対するアクセスが急増する。これは海外製デジタルビデオレコーダの通信で利用されるポートで、JSON形式で23231/TCPに対するアクセスをTelnetで使われる23/TCPへ書き換える内容であった。この後21日から継続的に一日250件を超えるポート23231/TCPに対するアクセスが中国、ロシア、米国、トルコ、ウクライナなどの地域から発信。通常はランダムな番号が初期値として設定されるTCPシーケンス番号と宛先IPアドレスを一致させている点にMiraiと同様の特徴があるという。

昨年末から急増する不審なアクセス(@policeより)

不審な発信元にブラウザでアクセスすると表示されるデジタルビデオレコーダのログイン画面(@policeより)

また、18日からは6789/TCPに対するブラジル、タイ、中国、インド、トルコなどを発信元とするアクセスが急増しており、ここにはハードウェア機器に搭載され多数のコマンドを実行できるプログラムBusyBoxを呼び出し、19058/TCPに接続してバックドアを構築しようとするコマンドが確認されている。これらに対する返答内容にはMiraiや亜種のボットで使用されるコマンドに類似しており、発信元にWebブラウザで接続するとデジタルビデオレコーダなどのログイン画面が表示される。ボット化されたデジタルビデオレコーダーが警察組織のネットワークにアクセスしている可能性が高い。12月下旬からは22/TCP、2222/TCPに対するアクセス増加も観測されており、サイバーフォースセンターでは「Mirai」ボットネットによる一連の流れである可能性が高いと警鐘を鳴らしている。

サイバーフォースセンターでは、「Mirai」ボットネット感染活動への対策としてIoT機器利用者に以下の項目を呼びかけている。

・初期設定のユーザ名及びパスワードのままでは使用せず、ユーザ名とパスワードを推測されにくいものに変更してください。

・IoT 機器をインターネットに接続する場合には、直接インターネットに接続せずに、ルータ等を使用してください。また、ファイアウォール等によって不必要な外部からのアクセスを遮断する、特定の IP アドレスのみにアクセスを許可する等の適切なアクセス制限を実施してください。

・製造元のウェブサイト等で脆弱性情報を確認し、脆弱性がある場合はファームウェアのアップデート等の適切な対策を行ってください。

・必要がない限りは、ルータ等のUPnP機能を無効にしてください

Miraiに感染しボットネット化したIoTデバイスを使ったDDoS攻撃は、昨年世界各地で報告されており大規模な攻撃で接続障害を引き起こす能性がある。本人が自覚せずに、IoT機器が踏み台とされる可能性もある。今一度ネットワーク接続機器の設定再確認が求められる。