JPCERTコーディネーションセンター(JPCERT/CC)は1月27日、「インターネット定点観測レポート[2014年10月1日~12月31日]」を公開した。この四半期に観測された日本宛のパケットを中心に分析した結果となる。
宛先ポート番号別のパケット観測数トップ5は下記のとおり。トップ5の顔ぶれはかわらず、また前四半期と同様に1位は23番ポートとなった。
パケット観測数トップ5のポート
とくに23/TCP宛のパケット数は11月上旬に増加。大きな増減を繰り返しながら、大量に観測される状態がつづき、この四半期の合計でも最多となった。
トップ5宛パケットの観測数
また、23/TCP宛パケットを、送信地域ごとの観測数の推移で表したのが下記の図だ。青いラインは中国のもので、その大半を占めている。ただ、12月上旬には送信元が日本であるパケットも増えている。また、8080/TCP宛のパケットも増加傾向にあることがわかった。
23/TCP宛パケットの送信元地域別の観測数
JPCERT/CCは、「11月下旬から観測している23/TCP、8080/TCP宛のパケットは、GNU bash の脆弱性を悪用して乗っ取られたQNAP NAS が、同脆弱性をもつ他のQNAP NASなどを探索するための踏み台にされて、送信していたもの」と推測。
QNAP NASにおいてリモートアクセスできるようにするmyQNAPcloudサービスが有効になっている場合は、「TCP 8080番ポートへのスキャンの増加に関する注意喚起」を参考に適切なセキュリティ対策を実施するよう呼びかけている。
