WebカメラやSTBがポートスキャンのボット化する時代に - JPCERT/CC

探索パケットの中には、マルウェアに感染したWebカメラやセットトップボックス(STB)など、PCではない機器から送信された事例があり、一部は国内に存在するIoT端末のIPアドレスもあったという。PCではない組込み機器がマルウェアに感染してボット化している事例として、注意が必要と思われる。

また、11月中旬以降に、「9600/TCP」宛のパケット数の一時的な増加が数回発生している。

同ポート番号は、一般的に使用されるソフトウェアのサービスで使用されるポート番号ではないためJPCERT/CCが調査したところ、国内制御機器ベンダーのマニュアルに同ポートの記載があったことを確認した。

この例で問題となるのは、海外のセキュリティ研究団体が、制御システムのセキュリティ問題に関する記述と、実証目的のコンセプトコードをWebサイトに公開しており、その公開時期が"パケット数が増加した時期"と重なるというものだ。12月20日頃からは、パケット数だけでなく、送信元IPアドレス数も増加しており、公開されたWebサイトの閲覧者からの探索も含まれていると推察されるという。研究目的でのセキュリティ情報の公開は、慎重さが求められる。