JPCERT/CC、「RDP」(リモートデスクトッププロトコル)3389番へのポートスキャンで注意喚起 | RBB TODAY

JPCERT/CC、「RDP」(リモートデスクトッププロトコル)3389番へのポートスキャンで注意喚起

ブロードバンド セキュリティ

インターネット定点観測システム(ISDAS)TCP 3389番ポート指定グラフ (2011/08/01-2011/09/07)
  • インターネット定点観測システム(ISDAS)TCP 3389番ポート指定グラフ (2011/08/01-2011/09/07)
  • AP地域における定点観測システム (TSUBAME) での観測動画
 JPCERTコーディネーションセンター(JPCERT/CC)は7日、「Remote Desktop(RDP)が使用する3389番ポートへのスキャンに関する注意喚起」を公開した。

 RDP(リモートデスクトッププロトコル)は、TCPポート「3389」を使用して接続するが、JPCERT/CCでは、3389番ポートへのスキャンが、2011年8月中旬より増加していることを、インターネット定点観測システム (ISDAS)において確認しているとのこと。

 これらのスキャンの原因は特定できていないが、Windowsマシンの待ち受けポートを対象にスキャンを行い、その後パスワードクラックを行うマルウェア「Morto」の可能性が考えられるという。JPCERT/CCでは、本スキャンを行っていると考えられるMortoを入手し、動作検証を実施。マルウェアに感染したコンピュータは、DNSサーバにリクエストを送信し、近くのIPアドレスのTCP 3389番ポートに対しスキャンを行い、「administrator」「admin」「test」「user」「guest」「support_388945a0(リモートアシスタンスのデフォルトID)」など、さまざまなIDを使いRDPでログインを試み、ログインに成功すると、マルウェアに感染させることが確認された。

 ISDASでは、日本国内の複数のIPアドレスからのスキャンを観測し、管理者に通知を行い、8月28日以降、TCP 3389番に対するスキャンは減少しているとしている。JPCERT/CCでは、RDP(TCP 3389番ポート) を使用するサービスを利用している場合、脆弱なパスワードを使用しないこと、不要なアカウントはログイン制限をかけること、ルータやFirewallなどで外部からのTCP 3389番ポートに対しアクセス制御を行うことを呼びかけている。
《冨岡晶》

関連ニュース

特集

page top