5358番ポートへのアクセスが増加、「Mirai」と異なるIoTボットネットか

警察庁は、TCP 5358番ポートに対するアクセスが1月下旬より増加しているとして注意喚起を行った。マルウェアへ感染したIoT機器が発信元とみられている。

TCP 5358番ポートに対するアクセスの推移（グラフ：警察庁）

同庁によれば、観測システムにおいて1月23日ごろよりTCP 5358番ポートに対するアクセスが増加しているという。発信元のIPアドレスを見ると、ベトナムや台湾、ブラジル、韓国、トルコなどが中心。発信元の52％が、telnetで利用するTCP 23番ポートに対してもアクセスを行っていた。

同庁が発信元IPについてブラウザで接続すると、いずれもネットワークカメラやルータなどネットワーク機器のログイン画面が表示される状態で、IoT機器がマルウェアへ感染し、攻撃の踏み台に利用されていると同庁では分析。

IoT機器へ感染するマルウェアとしては「Mirai」が有名だが、今回観測したアクセスでは、TCPシーケンス番号と宛先IPアドレスが一致する「Mirai」の特徴とは異なり、別のマルウェアが感染している可能性があるという。

（Security NEXT - 2017/03/22 ） ツイート

PR

関連記事

欧州IoTセキュリティ法規への準拠を支援 - NRIセキュア
OT製造現場のリスク把握とセキュリティ対策を支援 - MIND
【特別企画】最新アイデンティティ管理でビジネスを加速 - 導入企業が語る魅力
IoT製品のセキュ評価制度「JC-STAR」 - 4レベルで認証、取消もあり
GL-iNet製ルータに複数の深刻なRCE脆弱性 - 早急に更新を
「情報セキュリティ白書2024」が発売 - PDF版も提供開始
MS、7月の月例パッチを公開 - ゼロデイ脆弱性にも対応
総務省、「スマートシティセキュリティガイドライン第3.0版」を策定
セイコーSOL製LTE対応IoTルータに深刻な脆弱性 - ファームウェアの更新を
国内で「Mirai」とは異なるボットネットの動きが加速