2016/12/26

「Mirai」亜種か? 海外製ルータを狙うアクセスが急増

警察庁は12月21日、海外製ルータを標的としたアクセスが急増しているとして、注意を呼びかけました。それによると、11月26日22時ごろから宛先ポート「7547/TCP」に対するアクセス急増が、インターネット定点観測システムにより観測されているとのことです。

「7547/TCP」は、ルータ製品などの遠隔操作用プロトコル「CWMP(CPE WAN Management Protocol)」で使用されています。また、台湾Zyxel社が製造する一部ルータには、コマンドインジェクションの脆弱性が存在することが、すでに判明しています。そのため、これらのアクセスは、「7547/TCP」を通じて不正プログラムの実行を試みる、ボットの感染活動と考えられます。

一方、海外のセキュリティ機関のSANS ISC(Internet Storm Center)は、この攻撃でダウンロードされる不正プログラムが、IoT機器を標的とする「Mirai」(ミライ)に由来すると見ています。すでに、「Mirai」の亜種が「7547/TCP」を攻撃することも確認されています。

攻撃が成功した場合、ルータがボットに取り込まれ、DoS攻撃の踏み台となったり、さらなる探索を行ったりする可能性があります。実際、警察庁がアクセスの発信元を調査したところ、台湾Zyxel社ルータのログイン画面が表示されるケースがありました。利用者は、使用機器の脆弱性の有無等を確認し、アップデートやアクセス制限を行うようにしてください。なお警察庁では、宛先ポート「27015/UDP」、宛先ポート「1900/UDP」に対するアクセスの急増なども観測したとのことです。


7547/TCPに対するアクセス件数の発信元国・地域別推移(警察庁リリースより)<br />

7547/TCPに対するアクセス件数の発信元国・地域別推移(警察庁リリースより)


おすすめの動画

コネクテッドカーのセキュリティリスクとは

運営社情報

セキュリティブログ
is702
PageTop