• TOP
  • ニュース一覧
  • Miraiボットの特徴を有するアクセスが増加、IoT機器の感染拡大を図る|警察庁
2019/07/23

Miraiボットの特徴を有するアクセスが増加、IoT機器の感染拡大を図る|警察庁

警察庁は7月19日、「宛先ポート5500/TCP、5555/TCPおよび60001/TCPに対するMiraiボットの特徴を有するアクセスの増加について」と題する調査結果を発表しました。警察庁ではインターネット上にセンサーを設置し、アクセスの増減、不正侵入、DoS攻撃被害等について定点観測をしています。

それによると、2019年6月中旬より宛先ポート5500/TCP(VNCリモートデスクトップ)および60001/TCP(独自設定)に対するアクセスの増加が観測されました。これらのアクセスは、宛先IPアドレスとTCPシーケンス番号の初期値が一致しており、Miraiボットと同様の特徴を示していました。

5500/TCPに対するアクセスの多くは、外部サーバから不正プログラムのダウンロードおよび実行を試みるものでした。また、同アクセスの送信元IPアドレスを調査したところ、海外製デジタルビデオレコーダ等のIoT機器のログイン画面が表示されました。

同様に、宛先ポート60001/TCPに対するアクセスも、不正プログラムのダウンロードおよび実行を試みるものでした。こちらの送信元IPアドレスには、日本国内のものが含まれており、その多くがポート80/TCPまたは81/TCPにおいて、Wi-Fiストレージ製品のログイン画面が表示されました。

なお、警察庁のインターネット定点観測システムでは、宛先ポート5555/TCP(Android Debug Bridge)についても、6月下旬よりアクセスの増加を観測したとのことです。スマートテレビ、TV Box等、Android搭載機器の一部には、5555/TCPのアクセスを使用する製品が存在するため、こうした製品を狙った攻撃と考えられます。

これらの不審なアクセスは、いずれも家庭用ルータやIoT機器を乗っ取り、攻撃や拡散に利用するためと考えられます。利用者は脆弱性情報に注意し、総合的なセキュリティ対策を行うようにしてください。


宛先ポート5500/TCPおよび60001/TCPに対するMiraiボットの特徴を有するアクセス件数の推移(6月1日~7月15日)(警察庁の発表資料より)


宛先ポート5500/TCPおよび60001/TCPに対するMiraiボットの特徴を有するアクセス件数の推移(6月1日~7月15日)(警察庁の発表資料より)

おすすめの動画

IoTで広がる世界とそのセキュリティ

運営社情報

セキュリティブログ
is702
PageTop