宛先ポート「23/TCP」経由で組み込み機器を狙う攻撃を確認 - 警察庁

警察庁は12月15日、インターネットに接続されたデジタルビデオレコーダなどのLinuxを搭載したIoT機器(組み込み機器)を標的とした攻撃を観測したと発表した。

今回の観測は、宛先ポート「23/TCP」へのアクセス増加をきっかけとしたもの。23/TCPは通常、ネットワークに接続された機器を遠隔で操作するTelnetで利用されているが、2014年になってからアクセスが極端に増え、2015年になってからも高い水準で推移している。

アクセス元は、インターネットに接続されたルータ、ウェブカメラ、ネットワークストレージ、デジタルビデオレコーダなどのLinuxが組み込まれたIoT機器であることがわかっている。不正なプログラムは、「ARM」「MIPS」「PowerPC」「SuperH」といったCPUを搭載する機器が感染するもので、これらのCPUは組み込み機器で多く搭載されている。

このことから、攻撃者がインターネットに接続された組み込み機器を標的とした不正活動が明らかとなった。なお、一般のコンピュータで広く採用されているCPU「X86」で動作するコンピュータには感染しない。不正プログラムに感染した機器は、TelnetやHTTPによってC&C(Command and Control)サーバに接続を行い、攻撃者からの命令に基づいて動作する「ボット」として動作する。ボット化した機器は、攻撃者による感染拡大を狙ったさらなる探索(Telnet探索、宛先ポート53413/UDPに対するアクセス)のほか、DDoS攻撃やスパムメールの送信などで悪用される恐れがある。

警察庁は「組み込み機器が何らかの手法により、攻撃者に乗っ取られ、攻撃の踏み台として悪用されている」とコメントしており、攻撃者の活動意図などはわかっていない。現在利用している機器について、最新のセキュリティ情報を確認することを推奨している。