Telnetを狙った攻撃が活発化、インターネット定点観測レポート

JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は10月28日、「インターネット定点観測レポート(2014年 7～9月)」において、2014年第3四半期におけるインターネット定点観測レポートを公開した。2014年第3四半期はtelnetのポートを狙った攻撃が1位となっており、これにmicrosoft-dsのポート、sshのポート、ICMP、ms-sql-sが続いた。

このような何らかの攻撃や情報収集を目的に送信されたと見られるパケットの大半(55%)は中国からのもので、これにインドの7%、韓国の4%、米国の4%が続く形になっている。telnetのポートを狙ったアクセスはtelnetでの接続待ちをするタイプのネットワーク機器を狙ったものと推定される。こうした動きは過去にも観測されており、今回再び活発化したことになる。

2014年第3四半期の特徴として、9月下旬からTCPの10000番ポートへのパケットが増加した点も指摘されている。TCPのポート番号10000はWebminの標準ポートとして利用されている。Webminはシステムシェルとしてbashを採用しているため、bashのセキュリティ脆弱性(Shellshock)を利用してWebサーバの乗っ取りなどを狙ったものと見られるという。

bashをシステムシェルに採用したプロダクトはほかにいくつもあり、同様の危険性があるものと推測される。bashをシステムシェルに採用しているシステムでは、ソフトウェアやファームウェアをセキュリティ対策が実施されたバージョンへアップグレードするなど、適切な対応を実施することが推奨される。