宛先ポート「23/TCP」

tcp_006_R

ポート番号

ポート番号とは、コンピュータが通信を行う際に通信先のアプリケーションを識別するための番号です。16ビットの整数で0番~65535番まであります。IPアドレスでネットワーク上のコンピュータを識別し、ポート番号によってどのプログラムに通信パケットを渡すのかを決めるわけです。
例えるなら、IPアドレスは住所にあたり、ポート番号はマンションの部屋番号にあたるといえるかもしれません。現実の世界では、マンションの部屋番号の振り方に決まりはありませんが、ネット上では混乱を招かないように主要なサービスについてはポート番号が決められています。このようなポート番号を「ウェルノンポート(Well-known Port)」と言います。ポート番号1~1023までの範囲で決められています。

tcp_001_R

(https://www.cman.jp/network/term/port/ より)

宛先ポート「23/TCP」を経由したIoTを標的とした攻撃

2015年12月15日に警察庁は、宛先ポート「23/TCP」経由で、インターネットに接続されたデジタルビデオレコーダなどのLinuxを搭載したIoT機器を標的とした攻撃を確認したとして、現在利用している機器について最新のセキュリティ情報を確認するよう注意を促していました。23/TCPは前述の表にあるように、Telnetで利用されています。Telnetは、ネットワークにつながった別のコンピュータを遠隔操作するためのプロトコルの一つですが、警察庁の発表では、2014年から宛先ポート「23/TCP」へのアクセスが極端に増加し、今なお高い水準で推移しているとのことです。

宛先ポート23/TCP に対するアクセス件数の推移

tcp_002_R

(@police 平成27年12月25日 「IoT 機器を標的とした攻撃の観測について」より)

警察庁の発表をまとめると次のようになります。

・発信元は、インターネットに接続されたルータ、ウェブカメラ、ネットワークストレージ、デジタルビデオレコーダ等のLinuxが組み込まれたIoT機器
・不正なプログラムは、ARM、MIPS、PowerPC、SuperHを標的としている。
・不正プログラムに感染すると「ボット」になってしまう。
・感染拡大を狙ったTelnet 探索、宛先ポート53413/UDP(※1)に対するアクセスを確認している。
(※1)脆弱性が報告されている海外メーカーのルータで使用されているポート番号です。
・ボット化した機器は、DoS 攻撃やスパムメールの送信等に悪用される可能性がある。

組み込み機器を標的とした攻撃と感染の拡大

tcp_003_R

(@police 平成27年12月25日 「IoT 機器を標的とした攻撃の観測について」より)

NICTER WEB

独立行政法人 情報通信研究機構(NICT)は、サイバー攻撃観測・分析・対策システム NICTER (Network Incident analysis Center for Tactical Emergency Response)が観測した情報の一部をWebで公開します。サイバー攻撃の傾向を可視化したものです。
2016年4月24日の数値では、ポート23(Telnet)への攻撃は、全体の37%になっています。また、国別パケット数では中国が31%でなっています。

tcp_005_R

tcp_004_R
(http://www.nicter.jp/nw_public/scripts/index.php より)

Telnetは認証や通信を暗号化する仕組み持っていないことから、遠隔操作などの用途には暗号化に対応したSSHなどが使われることが多いのですが、一部の組み込み機器では、Telnetが残っていることが攻撃の標的となっているようです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です