ネット接続機器を狙う攻撃に備えて――JPCERT/CCが注意喚起

インターネット接続機器へのマルウェア感染を狙ったとみられる攻撃が多数観測されており、長期休暇に備えた点検や対策を呼び掛けている。

[ITmedia]

　JPCERT コーディネーションセンター（JPCERT/CC）は12月21日、インターネット接続機器におけるセキュリティ状況の確認や対策の実施を呼び掛けた。ネット接続機器へのマルウェア感染などを狙う攻撃が多数観測されているという。

　JPCERT/CCによると攻撃は、監視カメラやストレージ機器、特定産業向けの組込み通信機器などのほか、ルータやデジタルビデオレコーダーなどを標的にしており、JPCERT/CCでは「Mirai」などのマルウェアに感染させたり、感染可能な機器を探索したりするパケットを継続的に観測している。

　JPCERT/CCの定点観測システム「TSUBAME」では、例えば、Port23/TCPやPort2323/TCPに対する探索行為とみられるパケットが10月中旬以降、高い水準で観測されている。また、直近の観測では12月19日前後に6789/TCPに対するパケットが急増した。

2016年4〜12月のPort23/TCPおよびPort2323/TCPあてパケットの観測数の推移（出典：JPCERT/CC）

2016年11月〜12月の主な探索パケットの観測数の推移（出典：JPCERT/CC）

　これらのポートに対する通信をJPCERT/CCが分析した結果、バックドアを作成したり、別のマルウェアを転送して実行させたりするなどの攻撃活動が確認された。マルウェアは攻撃者のC&C（指令・制御サーバ）と通信するほか、telnetなど使った探索活動、HTTPやUDP、TCPベースのDoS（サービス妨害）攻撃を実行する機能を持つという。

　こうした動向からJPCERT/CCは、企業や家庭を問わず、さまざまなネット接続機器が攻撃の危険性に晒されているとし、さらなる攻撃の踏み台に悪用されたり、情報窃取などの二次被害を防いだりする必要があると指摘。企業では長期休暇に備えて必要のない機器を停止し、家庭でもネット接続機器の状況を確認して対策を実行することを呼び掛けた。

　JPCERT/CCが挙げる対策ポイントは次の4点。

---

1.機器がインターネットからアクセス可能かどうかを確認する

　組織や自宅で使用する機器が意図せずインターネットからアクセスできる状態になっていないかを確認する。機器に意図せずグローバルIPアドレスが割り当てられている場合があり、ルータやファイアウォールなどで機器へのアクセスが制限されていることを確認する。また、ユニバーサルプラグアンドプレイ（UPnP）などの機能によってNAT環境下でもインターネットから到達可能な場合があり、注意が必要。インターネットからのアクセスが必要な場合は、特定のIPアドレスのみから接続を許可するように制限したり、VPNを使用したりするなどのアクセス制限の実施を検討してほしい。

2.適切なパスワードを設定する、および認証機能を有効にする

　ネットワーク接続機器は、出荷時の初期設定で認証機能が無効になっていたり、製品共通のIDとパスワードが設定されていたりする場合がある。認証機能を有効にして、適切なパスワードを設定する。また、IDを確認して利用者が不明なIDの利用停止や削除も検討する。

3.ファームウェアのアップデートを実施する

　観測状況から、攻撃者は既知のセキュリティ上の問題をしつように狙っているとみられる。脆弱性などが修正されたファームウェアへ確実に更新し、予期しない被害を回避するために定期的にアップデートの有無を確認する。

4.マルウェア感染の恐れがある場合の対処

　マルウェアは機器のメモリ上に存在することがあり、機器をネットワークから分離して再起動させ、強固なパスワードへ変更した後にネットワークへ再接続する。なお、パスワードを変更せずに再接続したり、ファームウェアの更新することなく再接続したりすると、再びマルウェアに感染する可能性がある。

---

　こうした作業では機器のマニュアルを参照したり、製品を設置した事業者に確認を行ったりすることも推奨されるとし、JPCERT/CCは機器のログを定期的に確認して、第三者が不正に使用した形跡がないかを確認することも重要だとアドバイスしている。