今夏のDEF CON講演の実証コードに類似した攻撃確認--定点観測レポート（JPCERT/CC）

JPCERT/CCは、2019年7月から9月における「インターネット定点観測レポート」を公開した。

脆弱性と脅威脅威動向

2019.10.30 Wed 9:05

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は10月29日、2019年7月から9月における「インターネット定点観測レポート」を公開した。同レポートは、インターネット上に複数のセンサーを分散配置し、不特定多数に向けて発信されるパケットを継続的に収集、宛先ポート番号や送信元地域ごとに分類したものを、脆弱性情報、マルウェアや攻撃ツールの情報などと対比して分析したもの。

同四半期における宛先ポート番号トップ5は、1位「23/TCP（telnet）」（前四半期1位）、2位「445/TCP（microsoft-ds）」（同2位）、3位「22/TCP（ssh）」（同4位）、4位「37215/TCP」（同3位）、5位「80/TCP（http）」（同5位）となった。送信元地域トップ5では、1位「オランダ」（同4位）、2位「ロシア」（同1位）、3位「米国」（同2位）、4位「中国」（同3位）、5位「台湾」（同5位）となっている。

また、同四半期に注目された現象として、「10000/TCP宛のパケットの動向」および「日本を送信元とした23/TCP、2323/TCP宛のパケットの動向」を挙げている。10000/TCP宛のパケットは。本四半期における宛先ポート番号トップ5には入っていないものの、2019年8月20日頃から増加している。主な発信元は米国、ロシア、オランダなどとなっている。

インターネット上のサーバからファイルを取得させようと細工したものと見られるが、2019年8月10日（現地時刻）に米国で行われたセキュリティカンファレンス「Defcon」で、Webmin 1.882～1.921に存在する脆弱性（CVE-2019-15107）について講演があり、講演者が示した実証コードがと類似しており、これを参考にして作られたと考えられるとしている。

《吉澤亨史（ Kouji Yoshizawa ）》