JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は5月9日、「TSUBAMEレポート Overflow(2024年1~3月) - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、「インターネット定点観測レポート」に記載していない、海外に設置されたセンサーの観測動向についてまとめた2024年1月から3月までの「TSUBAMEレポート」を公開した。
2024年1月から3月までの主な観測動向
JPCERT/CCは、2024年1月から3月までの期間に観測されたデータを分析した結果、特別な注意喚起等が必要な状況には至らなかったと説明している。この期間、国内外のセンサーにはTCPポート23(telnet)、TCPポート6379(redis)、TCPポート22(ssh)、TCPポート8080(http-alt)、TCPポート80(http)に宛てたパケットが観測されている。これらはネットワークスキャンを目的としたパケットと推測されている。
2023年度の観測動向まとめ
JPCERTコーディネーションセンターによると2023年度はTCPポート23(telnet)へのパケットが最も多く届いたという。そのパケットのうち、海外から国内のセンサー、国内から海外のセンサーへ宛てられたパケットは、どちらも約7割がマルウェア「Mirai」によるものとされる。
また、日本国内からセンサーに送信されたパケットは、海外ベンダー製の監視カメラやDVRを送信元とするケースが多く、次いで海外ベンダーのNAS(Network Attached Storage)やルータを送信元とするケースが確認されている。これら送信元のデバイスは攻撃者に悪用されている可能性がある。
JPCERT/CCは2023年度の活動の一つとして、観測結果や調査結果を基に、攻撃に悪用された脆弱性に関する情報を開発者に提供し、対策方法を議論したという。また、送信元アドレスが国内企業の場合は、コンピュータセキュリティインシデント対応チーム(CSIRT: Computer Security Incident Response Team)などのコミュニティと連絡を取り、観測データを提供し、問題の解消につながったと報告している。