国内からの 22/TCP ポートへのアクセスの増加
最終更新: 2017-07-07
JPCERT/CCでは、インターネット定点観測システム (TSUBAME) を運用し、センサーに届いた通信パケットの傾向から、インターネット上の攻撃動向を分析しています。
JPCERT/CC
TSUBAME(インターネット定点観測システム)
https://www.jpcert.or.jp/tsubame/
TSUBAME の観測結果によると、2017年6月13日ごろを境に、国内の IP を通信元とした 22/TCP ポートへのアクセスが増加しています (6月中のアクセスにおいて、6月13日より前は合計 101 IP、6月13日以降は合計 1285 IP からのアクセスを観測)。 通信元を調べると、特にモバイル回線からのアクセスの増加がみられます。JPCERT/CCではインターネットサービスプロバイダーなどへ連絡をするなど対応を始めています。
TSUBAME センサーに届いた 22/TCP ポートへのアクセス
(左:国内 IP が通信元のアクセス、右:すべてのアクセス)
本記事を執筆している時点ではアクセスの増加の原因は分かっていませんが、国外 IP からのアクセスは増加しているように見えないことから国内に限った問題だと考えており、現在、JPCERT/CCでは、この問題の原因について調査しています。
様々な原因が考えられますが、可能性の一つとして、マルウエアが引き起こしているケースも否定はできません。2016年秋にマルウエア Mirai が話題となりましたが、その際には Telnet の使用する通信ポート (23/TCP) などに対する探索パケットの増加が見られました。今回の 22/TCP ポートへのアクセスの増加は、Mirai などで観測されたものと比較すると大きな増加ではありませんが、早めに注意を向けることが望ましいと考えています。
2017年6月以降で通信量が極端に増加していないかを含め、ご利用中の PC や機器について不審なソフトウエアやマルウエアがインストールされていたりしないかなど、セキュアな状態が保たれているか確認することをおすすめします。特にモバイル回線には、PC 以外にも様々な機器が接続されていると考えられます。PC 以外の機器についても、適切な対策を施して利用することを推奨します。
JPCERT/CC
インターネットに接続された機器の管理に関する注意喚起 - インターネットにつながったあらゆる機器が脅威にさらされています -
https://www.jpcert.or.jp/at/2016/at160050.html
今回の件について、提供いただける情報がありましたら、当グループまでご連絡ください。今後、一定の情報収集と分析が整った段階で注意喚起を発行する場合があります。
早期警戒グループ
メールアドレス : ww-info@jpcert.or.jp
Topへ