JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月19日、「TSUBAMEレポート Overflow(2024年4~6月) - JPCERT/CC Eyes|JPCERTコーディネーションセンター公式ブログ」において、「インターネット定点観測レポート」に記載していない海外に設置されたセンサーの観測動向の比較や活動についてまとめた2024年4月から6月までの「TSUBAMEレポート Overflow」を公開した。
主な観測動向
JPCERT/CCが2024年4月から6月までの期間に観測した特徴のあるインターネット活動は次のとおり。
TP-Linkルータからのtelnet探索
ゴールデンウィークの少し前ごろからtelnetポート宛てパケットが多く観測されたという。送信元IPアドレスを調査すると、多くがTP-Linkの無線LANルータ「Archer AX3000」だったことが判明。これらルータからは工場出荷時のままアップデートしていないとみられるファームウェアバージョン1.0.0が確認されている。
送信元IPアドレスは特定のインターネットサービスプロバイダー(ISP: Internet Service Provider)に偏っており、6月末時点にて問題は解決していない。一般的に特定のISPユーザーに偏って長期間脆弱なルータが使用し続けられる状況は考え難い。そのため、JPCERT/CCは大量購入した特定のユーザーまたは業者が何らかの目的で脆弱なファームウェアを使用し続けている可能性があると指摘している。
なお、TP-Link Archer AX3000からはOSコマンドインジェクションの脆弱性が発見されており、ファームウェアアップデートが推奨されている(参考:「TP-Linkの無線LANルーターに脆弱性、アップデートを | TECH+(テックプラス)」)。
最多パケットはtelnet
期間中に受信したパケットの最多宛先ポートは国内外ともにTCPポート23(telnet)となった。海外センサーにおいては、TCPポート80(HTTP)、TCPポート8728(MikroTikルータのAPI)、TCPポート22(SSH)なども多く受信している。これらはネットワークスキャンを目的にしたものと推測されている。
保守、管理における留意点
JPCERT/CCはネットワーク機器を運用している管理者に対し、定期的な保守および管理を求めている。特にインターネットに接続している機器は脅威アクターに狙われることが多く、社内ネットワークへの不正アクセスや踏み台に悪用される可能性がある。このような機器のソフトウェアは最新の状態を維持し、ログイン画面をインターネットに公開しないよう設定することが推奨されている。