2020年上半期、トレンドマイクロはルータの解放設定されていないTCPポートへの不審なアクセス試行を106億回以上検出したという。
スマートスピーカーを入口にTV、冷蔵庫、エアコン、電灯など様々な機器のIoT化が徐々に浸透しつつある今、ホームネットワーク（家庭内ネットワーク）のセキュリティも意識せざるを得ない時代なのだろうか。
しかも新型コロナウィルス（COVID-19）の感染拡大により、大企業を中心に多くの企業が勤務形態をテレワーク（在宅勤務）へシフトしていることもあり、ますますホームネットワークのセキュリティに対応する重要性は増していくと言えよう。セキュリティブログからその実態を紐解く。

どのような攻撃が行われるのか

各家庭に複数のネット接続デバイスが設置されているという現状は、攻撃者によって家庭のネットワークへ侵入される危険の増加を意味しています。2020年上半期、トレンドマイクロは、ルータの解放設定されていないTCPポートへの不審なアクセス試行を106億回以上検出しましたが、とりわけTCP23番ポートは、不審なアクセス試行の検出が最も多く、53億回を超えていました。

23番ポートへの接続要求は、単なるポートスキャンではなく、主にモノのインターネット（IoT）を狙うワームによる攻撃由来のものであると考えられます。23番ポートが既知のIoTワームのターゲットであることに加え、デフォルトでは解放されていないポートあるいは利用できないサービスに対する接続要求は、特に不審であると言えます。正当な接続要求であれば解放されているポートに対して行われるはずで、確認された接続の試行は侵入口を見つけるために無差別に実行されたものか、調査を目的とした活動であると考えられます。

ホームネットワーク（家庭内ネットワーク）で確認された他の目立ったセキュリティイベントには、Secure Shell（SSH）のブルートフォース攻撃によるログイン試行の増加が挙げられます。この傾向は、新型コロナウイルスのパンデミック（世界的大流行）の発生以来継続して確認されています。業務目的でリモートアクセスを使用する従業員は増加しており、攻撃者はこれを見逃しません。このような変化により、在宅勤務のユーザにも不審な接続試行が着弾するリスクが発生しており、特にネット接続デバイス（家庭用と業務用の両方）が同じネットワークにある場合、さらに高まります。

解放されていないTCPポートへのアクセス試行

通常行われる検出のメカニズムでは一般的に、ハニーポットの場合も含め、解放されているポートおよび利用可能サービスを監視します。サービスに記録された接続要求や攻撃は、攻撃の傾向を識別するための材料となります。しかし、解放されているポートへの接続要求はそもそも正当なものであるため、この方法では、攻撃の可能性がある接続要求をすべて検出できるわけではありません。

今回の解析では、トレンドマイクロの組み込み型ネットワークセキュリティソリューション「Trend Micro Smart Home Network （SHN）」のDPI（Deep Packet Inspection）を使用して、ルータの解放されていないポートへの外部からの接続要求について監視しました。接続要求は通常、非特定の対象からのポートスキャンあるいは攻撃として分類されます。しかし調査からは、監視対象のポートへの接続要求は多種多様であることがわかります。各ポートへの接続要求の送信元上位5カ国と、送信元IP上位5カ国も異なることが確認されています。

なお、今回の調査では、外部からの家庭用ルータへの接続試行が調査の対象で、ホームネットワークの内部ソースによって発生したセキュリティイベントは除外しています。調査したTCPポートは次のとおりです。

• 21番ポートーFTP制御（コマンド）
• 22番ポートーSSH（SSH）、安全なログイン、ファイル転送（scp、sftp）、ポート転送
• 23番ポートーTelnetプロトコル–暗号化されていないテキスト通信
• 80番ポートーハイパーテキスト転送プロトコル（HTTP）
• 443番ポートーTLS / SSLを介したハイパーテキスト転送プロトコル（HTTPS）
• 8080番ポートーHTTPの代替ポート

TCPのトランスポート層により、IPアドレスとエンドポイントに関連付けられた複数のネットワークポートでのデータ交換と通信が可能になります。各ポートには例えば電子メールクライアント、Webサーバなどの基本となるサービスがあり、設定ミスやポートが監視されておらず保護されていないなど、要因は異なるものの、攻撃のリスクにさらされています。未使用のポートを閉じることは攻撃者に対してドアを閉めることになります。しかし、多くの攻撃者がこのような侵入口となるポートにアクセスするため、不審な調査をしていることが確認されています。

2020年上半期に確認された、解放されていないポートへの接続要求

ここでは、2020年1月から6月までの、解放されていないポートへの接続試行に関連するルータのイベントを解説します。TCP23番ポートが最も多く検出され、3月には大幅な増加が確認されています。TCP23番ポートは、IoTワームおよびボット型マルウェアのターゲットであることが知られています。これらのアクセス試行は、非特定の対象への攻撃または偵察活動が目的と考えられます。

2020年3月と4月、解放されていないTCP443番ポートに対する接続要求の検出が著しく増加しました（図１）。利用不可のサービスに対する接続試行の急激な増加であることから特に注目されます。これは、WebサービスおよびTLSプロトコルに対する大規模な攻撃の試みに起因するものと推測されています。

調査によると、2020上半期において、解放されていないTCP23番ポートへのアクセス試行は同じ期間のIoTワームに関連するTelnetアクティビティのデータと密接に繋がっています。Telnetクライアント接続の初期設定のポートは23です。そのため、不審な接続要求がIoTワームによるものと推測することは理にかなっています。

新型コロナウイルスのパンデミックに対応するため、多くの企業は勤務形態を在宅へと移行しました。 これにより、インターネット上のリモートサービスにアクセスする従業員が増大しました。一方、これに目を付けた攻撃者は、侵入の足掛かりとなる脆弱なリモートアクセス可能なネットワークサービスを検索します。

上の図3は、Telnet接続の試行を表しています。上半期の検出数は6月に頂点に達し、Telnetセッションに関連する200万を超えるイベントが検出されました。多くのネット接続デバイスは依然としてリモートアクセス機能を主にTelnetに依存しています。

悪質な攻撃者は、Telnet接続を介してIoTワームの使用を増加させているようです。例えば、Miraiの亜種はTelnetホストで増殖し、初期設定のアクセス認証情報を利用することが知られています。

攻撃者は通常、オープンなSSHあるいはTelnetポートについてスキャンした後、IoTマルウェア亜種を使用してブルートフォース攻撃を実行します。なお、Telnet通信は暗号化されていないため、Telnetポートは攻撃者にとって特に魅力的です。 IoTマルウェアやボット型マルウェアは、露出したプロトコルを使用して、より多くのルータに感染を拡大することも可能です。攻撃者はポートをリッスンし、認証情報を密かに調べ、リモートコマンドを実行することができます。

図4： SSHブルートフォース攻撃によるログイン（2020年1月から6月まで）

また、特にSSHを介したブルートフォースによるログインの試行についても大幅な増加が確認されました。初期設定のもの、あるいは容易に推測可能なユーザ名やパスワードなどの認証情報を使用していると、SSHおよび関連するポートが狙われやすくなります。SSHブルートフォース攻撃は、IoTボット型マルウェア、ランサムウェアその他のマルウェアでも同様に使用される侵入方法の1つです。今年初めに報告されたように、SSHブルートフォース攻撃が成功すると、ファイルを利用しない不正なコインマイナーによる攻撃が発生し、攻撃対象のサーバの制御を攻撃者に奪われる可能性があります。

アクセス試行はどこから？

送信元の国は大きく2つのグループに分けることができます。レンドマイクロの調査によると、TCPポート22番および23番については、接続要求と送信元IPの数が最も多い国として中国がトップの座を占めています。その他のTCPポート21番、80番、443番、および8080番の場合米国が第一位となっています。

以下の図５は、トレンドマイクロが確認した接続要求のイベント数と、個別IP数を示しています。これらは、調査目的か、あるいは攻撃の可能性のある送信元です。つまり、攻撃がどの国から来ているかを表しています。

（左：イベント数、右：個別IP数）

解放されていないTCPポート443番への接続要求の送信元の国がポートにアクセスする個別一意のIPの数が最も多く、8億4,700万を超えていることにも言及する価値があります。1,600万を超えるTelnetプロトコルポート23番が第2位と続いています。なお、一部の送信元では、他の国のプロキシを利用して攻撃をルーティングし、検出を回避していると考えられます。

（右：イベント数、左：個別IP数）

これは可能性としての統計にすぎませんが、通常のネットワーク接続の論理上利用されていないポートに対して送信された接続要求の急激な増加は、不審であると言えるでしょう。トレンドマイクロは、イベント数の変更を監視および検証し、不正な送信元を特定しブラックリスト化します。

家庭におけるネット接続デバイスのセキュリティ推奨事項

家庭で利用するネット接続デバイスには、ネットワークセグメンテーションを実装し、デバイスをパブリックネットワークから隔離してください。情報漏えいのリスクを最小限に抑えるため、ユーザは不要なサービスとコンポーネントを無効にする必要があります。トラフィックを特定のポートだけに制限することも、対策の一つとなります。ネット接続デバイスのセキュリティに関するベストプラクティスに従うことに加えて、以下の推奨項目も役立ちます。

• デバイスのファームウェアを最新バージョンのものに更新する。安全でないポート関連サービスに存在する既知の脆弱性を利用する攻撃を回避するために、常に最新のファームウェアにしておく
• ファイアウォールと侵入検知・防御システムを使用する。これらのシステムを使用して、不審なアクティビティを抑止し、攻撃者がネット接続デバイスまたはネットワークにアクセスするのを防ぐ
• 公衆Wi-Fiを利用しない。ホームネットワークおよび企業ネットワークに接続されているデバイスでパブリック接続を使用しない
• 外部からの、および横展開のネットワークトラフィックを監視する。デバイスの使用状況と通常のトラフィックを追跡する。ネットワーク内の不正アクティビティによって発生している可能性のある異常な動作をフィルタリングする
• システムを正しく設定する。破られにくい強力なパスワードを使用し、攻撃者によるポートとサービスへのアクセスを防ぐ

 

トレンドマイクロではこのような事態に対応するには、個人利用者のホームネットワークに接続されたIoT機器については「ウイルスバスター for Home Network」、もしくは「Trend Micro Smart Home Network™」を搭載したルータにより保護することが可能としている。これらにより、ルータと接続されたすべての機器におけるインターネット通信の確認を可能にしている。

今後、自宅のルーターを買い替える際には、その機能の有無を確認してはどうだろうか。

---

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/26232