国内のセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は2016年11月16日、2016年第3四半期(2016年7~9月)に観測した日本宛てのパケットの分析結果を公表した。9月下旬からTCP 23番ポート宛てのパケットが急増しているという。IoTウイルス(マルウエア)「Mirai(ミライ)」が原因の可能性がある。
JPCERT/CCでは、インターネット上に複数の観測用センサーを配置し、不特定多数に向けて発信されるパケットを継続的に収集して分析。その分析結果を四半期ごとに公開している。
今回公表した2016年第3四半期の特徴は、TCP 23番ポート宛てのパケットの急増。このポートはTELNETで使われている。TELNETを狙ったパケットは以前から多いが、9月下旬からさらに増えている。
2016年7~9月における宛先ポート番号別パケット観測数上位5件の推移
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]
この原因としては、TELNETを使って感染を広げるIoTウイルスMiraiの感染活動の活発化が考えられる。Miraiのソースコードはインターネットで公開されていて、誰でも入手可能だ。実際、Miraiを使ったと思われるDDoS(分散型のサービス妨害)攻撃が確認されている(関連記事:監視カメラから“史上最大級”のサイバー攻撃、IoTの危険な現状)。
JPCERT/CCの観測によると、複数の地域からのTELNET宛てパケットがまんべんなく増加しているという。これらのパケットの送信元を調べると、特定の機種の製品や、特定のISPが管理するIPアドレスが多いという。
2016年7~9月におけるTCP 23番ポート(TELNET)宛てパケット数の推移
(出所:JPCERTコーディネーションセンター)
[画像のクリックで拡大表示]
