treedown’s Report

システム管理者に巻き起こる様々な事象を読者の貴方へ報告するブログです。会社でも家庭でも"システム"に携わるすべての方の共感を目指しています。

※https化しました。その影響でしばらくリンク切れなどがあるかもしれませんが徐々に修正していきます。 リンク切れなどのお気づきの点がございましたらコメントなどでご指摘いただけますと助かります。

NICTからポートスキャンが来るらしい

ポートスキャンをされると「攻撃の準備行動がされた」と言えます。自分の管理しているサーバに来ると、なんとなく嬉しくないものです。
ですが、今回は気にしなくてよいポートスキャンが実施されるそうで、ご報告です。

NICTからのプレスリリース

プレスリリース:

日本国内でインターネットに接続されたIoT機器等に関する事前調査の実施について | NICT-情報通信研究機構

このリンク先のプレスリリースによれば、

NICT(国立研究開発法人情報通信研究機構)が

国内IPアドレス(IPv4)を対象として
以下のポート番号に対して

  • TCP22番(SSHポート)
  • TCP23番(Telnetポート)
  • TCP80番(HTTPポート)
  • など(と記載があるので他にもあるのかも)

ポートスキャンを実施するそうです。

ポートスキャンの結果、ポート開放状態のアドレス数の規模などの調査を行います、とのこと。
さらに、解放されているポートのIPアドレスに対しては、バナー情報を取得して、さらに詳細な状態を調査するらしい。要するにサービスの種類やバージョン情報なども収集しようとしているってことのようですね。

どうもこの絡みらしい
■電気通信事業法及び国立研究開発法人情報通信研究機構法の一部を改正する法律(平成30年法律第24号)
http://www.soumu.go.jp/main_content/000550149.pdf
※成立日: 平成30年5月16日と記載があって、11月1日に施行されたらしい。

加えてプレスリリースには
「11月14日(水) に開始し、来年1月末までを目途に実施予定」
と記載があります。

目的は記載のある「パスワード設定等に不備のあるIoT機器の調査等」のようですね。

ちょうど今日から始まる感じですね。

発信元IPアドレスとして
「210.150.186.238」「122.1.4.87」「122.1.4.88」の三つのIPアドレスが挙げられています。このIPアドレスからのポートスキャンが来たとしても、「あーNICTからの調査が来たんだな。」ってことでログに発見したとしてもスルーしておいていいってことのようですね。

f:id:treedown:20181109002544p:plain

IoT機器、狙われている

目的にある「IoT機器の調査等」というのは、最近爆発的に普及しているモノのインターネットってやつでなんでもIPアドレスを付与して通信してデータをクラウドに吸い上げるようにしている、ってことから、脆弱な状態やすぐに乗っ取られる状態のIoT機器がどれくらいいるものよ、ってことを調べようとしているのかと思われます。

たぶんこれって「IoT機器がこれから狙われるよね?NICTで状況把握しておかないとだめだよね?」見たいなことが発端になっているんじゃないかと。

そういや防犯カメラ(Webカメラ)が乗っ取られて云々、って話はよく聞きますね。そういうのも含めて世の中のIoT機器全般についてどれくらいの規模で脆弱な状況で使われているのかってのを把握しようとしているんでしょうか。確かに一部では初期パスワードのままで設置されたIoT機器は多いと聞きますし。

明日は我が身、ということで、いま一度イーサネット経由でデータ通信が可能なデバイスについては、誰でも使えるような状況になってないかを再点検したほうがいいのかもしれませんね。