警察庁、宛先ポート80/TCP、8000/TCP、8888/TCP等に対するアクセスの増加について注意喚起
- 2018/07/30 10:00
- SecurityInsight
警察庁は7月23日、@policeにおいて、宛先ポート80/TCP、8000/TCP、8888/TCP等に対するアクセスの増加に関して注意喚起を行なった。その概要は以下のとおり。
警察庁のインターネット定点観測システムによると、6月10日以降、宛先ポート80/TCPに対するアクセスの増加を観測。このアクセスは宛先IPアドレスとTCPシーケンス番号の初期値が一致するMiraiボットの特徴を有しており、6月13日に注意喚起を実施している。アクセス件数は6月15日以降に一旦減少したが、6月22日再び増加する等の推移があった。
また、6月14日以降、宛先ポート8000/TCPに対するMiraiボットの特徴を有するアクセスの増加も観測した。観測したアクセスは、HTTP GETリクエストを送信していることから、Webサーバーの稼動確認やサーバーソフトウェアの種別判定を行なっているものと見られる。
また、当該アクセスの発信元について調査したところ、その多くでネットワークビデオレコーダー等のさまざまなIoT機器に搭載されているWebサーバーソフトウェアXiongMai uc-httpd(以下、uc-httpd)が稼動していることを確認した。
uc-httpdについては、昨年5月にディレクトリトラバーサルの脆弱性(CVE-2017-7577およびJVNDB-2017-002986)が公開され、今年6月8日にもバッファオーバーフローの脆弱性(CVE-2018-10088)が公開されている。
宛先ポート8000/TCPに対するアクセスは、宛先ポート80/TCPに対するアクセスと同様に、これらの脆弱性に関連する、IoT機器に感染したMiraiボットの亜種による探索活動と考えられる。
日本国内からの宛先ポート80/TCPおよび8000/TCPに対するMiraiボットの特徴を有するアクセスも観測しており、国内においてもこれらの影響を受けているIoT機器が存在していると考えられるため、引き続き注意が必要となる。