警察庁、Miraiボットの特徴を有するアクセスの増加について発表
- 2019/07/24 10:00
- SecurityInsight
警察庁は7月19日、宛先ポート5500/TCPおよび60001/TCP、5555/TCP(Android Debug Bridge)に対するMiraiボットの特徴を有するアクセスの増加について発表した。その概要は以下のとおり。
1.宛先ポート5500/TCPおよび60001/TCPに対するMiraiボットの特徴を有するアクセスの増加
警察庁のインターネット定点観測において、今年6月中旬から宛先ポート5500/TCPおよび60001/TCPに対するアクセスの増加を観測。このアクセスは、宛先IPアドレスとTCPシーケンス番号iの初期値が一致するMiraiボットの特徴を有している。
観測した宛先ポート5500/TCPに対するアクセスの多くは、外部サーバーから不正プログラムのダウンロードおよび実行を試みるものだった。
同アクセスの着信元(送信元)IPアドレスを調査したところ、海外製デジタルビデオレコーダー等のIoT機器のログイン画面が表示されることを確認。海外製デジタルビデオレコーダー等の脆弱性を悪用し、不正プログラムの感染拡大を狙ったものと考えられる。
また、6月下旬より観測した宛先ポート60001/TCPに対するアクセスは、外部サーバーから不正プログラムのダウンロード及び実行を試みるものだった。同アクセスの着信元(送信元)IPアドレスには、日本国内のものが含まれており、その多くがポート80/TCPまたは81/TCPにおいて、Wi-Fiストレージ製品のログイン画面が表示されることを確認した。
不正プログラムに感染したWi-Fiストレージ製品が、他への感染活動として、宛先ポート60001/TCPに対してアクセスを試みているものと考えられる。
2.宛先ポート5555/TCP(Android Debug Bridge)に対するMiraiボットの特徴を有するアクセスの増加
警察庁のインターネット定点観測システムでは、Android Debug Bridge(ADB)のCONNECTメッセージを含むアクセスを観測し、注意喚起を実施しているが、今年6月下旬から宛先IPアドレスとTCPシーケンス番号の初期値が一致するMiraiボットの特徴を有するアクセスの増加を観測した。この観測の同時期には、宛先ポート60001/TCPへのアクセスの増加も観測しており、着信元(送信元)IPアドレスが同一であるものが多数あることを確認した。
観測したアクセスは、不正プログラムに感染させる実行ファイルをADBを介してダウンロードさせる目的があるとみられ、宛先ポート60001/TCPを利用したものと併せて、不正プログラムの感染拡大を狙ったものと考えられる。