2018/06/19

80/TCPに対するMiraiボットのアクセス、6月中旬より急増

警察庁は6月13日、宛先ポート「80/TCP」について、特定アクセスの増加を観測したことを発表しました。

発表によると、6月10日以降、警察庁のインターネット定点観測システムにおいて、宛先ポート「80/TCP」に対する特定アクセスの増加が観測されました。これらのアクセスでは、宛先IPアドレスとTCPシーケンス番号の初期値が一致するMiraiボットの特徴が見られました。「HTTP GET」リクエストを送信していることから、Webサーバの稼働確認やサーバソフトウェアの種別判定を行っていると推測されています。

また、発信元について調査したところ、ネットワークビデオレコーダ等のIoT機器からのものであることも判明しました。これらの機器では、Webサーバソフトウェア「XiongMai uc-httpd」が稼働していたとのこと。uc-httpdは、2017年5月にディレクトリトラバーサルの脆弱性、今年6月にバッファオーバーフローの脆弱性が公開されており、IoT機器に感染したMiraiボット亜種が、これらの脆弱性に対して探索を行っている模様です。日本国内からのアクセスも6月11日から急増しており、国内にも感染機器が存在していると見られます。

警察庁では、ネットワークビデオレコーダ等のIoT機器の利用者に対し、ルータやファイアウォール等の導入、ユーザ名およびパスワードの変更、ファームウェアのアップデート等、適切な対策を実施することを呼びかけています。


80/TCPに対するMiraiボットの特徴を有する国内からのアクセス件数の推移(警察庁の発表資料より)

80/TCPに対するMiraiボットの特徴を有する国内からのアクセス件数の推移(警察庁の発表資料より)

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop