こんばんは。今日は踏み台にされたIoT機器が攻撃に利用されているネタです。このへんの話は以前からもありましたね。IoT機器のセキュリティ対策の甘さに付け込んで踏み台に利用する攻撃はありました。23/tcpが開いていることにより、不正アクセスされて攻撃に加担するということはありました。

　以下はScanNetSecurityの記事です。Miraiに感染した場合とは傾向が異なるようです。今回は5358/tcpへのアクセスが特徴だそうです。

　で、「5358/tcpってなんだろう？」と思って、ちょっと調べてみました。WSD(Web Service for Devices)だそうです。プリンタなどとhttp(https)で通信するためのサービスのようです。

scan.netsecurity.ne.jp

　WSDとして利用するポート(5357/tcp,5358/tcp:前者はhttp、後者はhttps)に対してAPIの脆弱性を狙って、リモートでコードを実行されるという注意喚起がマイクロソフトから出ていました。これを狙った攻撃なんでしょうね。

マイクロソフト セキュリティ情報 MS09-063 - 緊急

　こちらにも載っています。Security NEXTの記事です。

www.security-next.com

　パスワード設定がザルなネットワークカメラやルータを踏み台にして攻撃を仕掛けるそうです。こちらには32/tcpと3232/tcpと19058/tcpに対する攻撃が見受けられると書かれています。これらはMirai亜種による攻撃ではないかと判断されています。

　今までIoT機器への23/tcpへの不正アクセス、そしてこれらの機器がマルウェアに感染させられて、ボットとして動作するといった報告は何度かありました。特に家庭用に使われるネットワークカメラや、ブロードバンドルータを購入時そのままの状態でインターネットに接続してしまうことで問題を引き起こすことが多いようです。最低限初期パスワードは推測されにくい文字列に変更し、使用しないサービスは停止しておくことは欠かせません。ブロードバンドルータの場合は、設定画面はLAN内からのみアクセス出来るようにします。外部から管理画面へアクセス出来るような設定がなされている場合は無効化しておくことを強くお勧めします。

　これはIoT機器ベンダの方々向けになりますが、少なくとも23/tcpがデフォルトで開いたままの出荷は避けていただけましたら幸いです。ユーザ自身が塞ぐことはかなり厳しいでしょうし、そもそも開いていること自体に気づかないだろうと思われます。（それ以前に「23/tcpって何？」レベルかもしれませんが）