• TOP
  • ニュース一覧
  • Miraiに似た中国発のスキャン活動が発生、新しいユーザ名やパスワードで探索
2018/04/16

Miraiに似た中国発のスキャン活動が発生、新しいユーザ名やパスワードで探索

トレンドマイクロは4月13日、公式ブログで「『Mirai』に似た中国発のネットワークスキャン活動を確認、ブラジルを攻撃」と題する記事を公開しました。

それによると、3月31日午後1時~4月3日午前0時(UTC)にかけて、中国を発信源とする「Mirai」に似たネットワークスキャン活動が発生したとのこと。福建省・湖南省・山東省といった地域のIPアドレス3423個から、ブラジルに向けて、IoT機器を狙った大量のトラフィックが検出されました。

トラフィックの内容は、Mirai同様、あらかじめ用意されたユーザ名およびパスワードでログインを試行するというもので、認証情報を変更していない脆弱な機器を乗っ取るのが狙いと考えられます。具体的には「admin:admin」「root:12345」「guest:guest」といったユーザ名/パスワードの組み合わせで探索が行われていました。

さらに今回の攻撃では、過去のMiraiによる攻撃では確認されていない、新しいユーザ名/パスワードが使用されていました。これらは中国製ルータの初期設定として利用されているユーザ名/パスワードだったため、該当する機器がブラジルにないか探索していたと推測されます。

・新たに確認されたユーザ名/パスワードの例
「telnetadmin:telnetadmin」(中国製ルータE-140W-P)
「e8telnet:e8telnet」(同HGU421v3)
「e8ehome:e8ehome」(同E8C)

なお今回のスキャン活動で使われたIPアドレスを過去の情報と照合したところ、167台のルータ、16台のIPカメラ、4台のデジタル・ビデオ・レコーダ(DVR)が関わっていることが判明しました。これらの機器は、攻撃者によって乗っ取られ、今回の攻撃に流用されていると考えられます。

Miraiやその亜種の攻撃を避けるために、まず機器の初期設定は必ず変更してください。その際、簡単に推測できるパスワードは避けるようにしてください。また使わないポートを塞ぐことも有効でしょう。




中国を発信源とするネットワークスキャン活動の増減

中国を発信源とするネットワークスキャン活動の増減



おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop