警察庁、宛先ポート80/TCPに対するMiraiボットの特徴を有するアクセスの増加について注意喚起
- 2018/06/18 10:00
- SecurityInsight
警察庁は6月13日、宛先ポート80/TCPに対するMiraiボットの特徴を有するアクセスの増加を観測したとして、注意喚起を行なった。その概要は以下のとおり。
警察庁では6月10日以降、警察庁のインターネット定点観測システムにおいて、宛先ポート80/TCPに対するMiraiボットの特徴を有するアクセスの増加を観測した。
観測したアクセスは、宛先IPアドレスとTCPシーケンス番号の初期値が一致するMiraiボットの特徴を有しており、HTTP GET リクエストを送信していることから、Webサーバーの稼働確認やサーバソフトウェアの種別判定を行なっているものと見られる。
当該アクセスの発信元について調査したところ、その多くでネットワークビデオレコーダー等のさまざまなIoT機器に搭載されているWebサーバーソフトウェアXiongMai uc-httpd(以下、uc-httpd)が稼働していることを確認できた。
uc-httpdについては、昨年5月にディレクトリトラバーサルの脆弱性が公開され、6月8日にもバッファオーバーフローの脆弱性が公開されている。今回の観測は、これらの脆弱性に関連する、IoT機器に感染したMiraiボットの亜種による探索活動と考えられる。
日本国内からの宛先ポート80/TCPに対するMiraiボットの特徴を有するアクセスも6月11日から急増しており、国内においてもこれらの影響を受けているIoT機器が存在していると考えられる。
ネットワークビデオレコーダー等のIoT機器をインターネットに接続する場合は、適切なアクセス制限等の対策を早急に実施することを推奨している。