写真●JPCERT/CCが運用する「インターネット定点観測システム」(ISDAS)が検出した過去一年間分のTCP3389番ポートへのスキャン回数のグラフ 8月中旬以降スキャン回数が急増している
写真●JPCERT/CCが運用する「インターネット定点観測システム」(ISDAS)が検出した過去一年間分のTCP3389番ポートへのスキャン回数のグラフ 8月中旬以降スキャン回数が急増している
[画像のクリックで拡大表示]

 JPCERTコーディネーションセンター(JPCERT/CC)は2011年9月7日、Windowsのリモートデスクトップ(RDP)機能で待ち受けポートとして利用する「TCP3389番ポート」へのスキャンが増加しているとして、ユーザーに対して注意を呼びかけた。

 JPCERT/CCが運用する「インターネット定点観測システム」(ISDAS)において、2011年8月中旬以降、TCP3389番ポートに対するスキャンが急増していることが確認されたという。実際に、過去一年間分の観測データのグラフを見てみると、確かに8月中旬以降スキャン回数が跳ね上がっている(写真)。

 ポートスキャンが急増した原因としてJPCERT/CCでは、リモートデスクトップの操作対象となっているパソコンを乗っ取るために該当ポートをスキャンし、その後パスワードクラックを実行するワーム型マルウエア「Morto」の存在を挙げている。

 実際にJPCERT/CCでは、Mortoの検体を入手し動作検証を実施したという。それによると、同マルウエアに感染したパソコンは、(1)DNSサーバーにリクエストを送信し、近くのIPアドレスのTCP3389番ポートに対してスキャンを実行する、(2)スキャンに応答したパソコンに対し、「administrator」「admin」「test」「user」「guest」「support_388945a0」(リモートアシスタンスのデフォルトID)などのユーザーIDを使ってRDPでログインを試みる、(3)ログインに成功すると、接続先パソコンにマルウエアを感染させる---といった挙動を示したとしている。

 JPCERT/CCによれば、日本国内の複数のIPアドレスからこのMortoによるものと思われるスキャンを観測したため、管理者に通知したという。8月28日以降、TCP3389番に対するスキャンは減少しているものの、「マルウエアの活動が一時的に停止している可能性もあり、引き続き注意が必要」(JPCERT/CC)だとしている。

 対策としてJPCERT/CCでは、システムで使用するアカウントに脆弱なパスワードを使用しないことや、リモートからログインが不要なアカウントにはログイン制限をかけること、必要に応じてルーターやファイアウォールなどで外部からのTCP3389番ポートへのアクセスに対してアクセス制御をかけることなどを挙げている。

 上記以外の対策として、レジストリの書き換えおよびクライアントからの接続時にポート番号の指定などが必要になるが、RDPで使うポート番号をTCP3389番から別のポート番号に変更するという手も有効だろう。