サイバー攻撃に悪用されるTP-Linkルータが増加、確認を

画像提供：マイナビニュース

JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は8月19日、「TSUBAMEレポート Overflow（2024年4～6月） - JPCERT/CC Eyes｜JPCERTコーディネーションセンター公式ブログ」において、「インターネット定点観測レポート」に記載していない海外に設置されたセンサーの観測動向の比較や活動についてまとめた2024年4月から6月までの「TSUBAMEレポート Overflow」を公開した。

○主な観測動向

JPCERT/CCが2024年4月から6月までの期間に観測した特徴のあるインターネット活動は次のとおり。
○TP-Linkルータからのtelnet探索

ゴールデンウィークの少し前ごろからtelnetポート宛てパケットが多く観測されたという。送信元IPアドレスを調査すると、多くがTP-Linkの無線LANルータ「Archer AX3000」だったことが判明。これらルータからは工場出荷時のままアップデートしていないとみられるファームウェアバージョン1.0.0が確認されている。

送信元IPアドレスは特定のインターネットサービスプロバイダー(ISP: Internet Service Provider)に偏っており、6月末時点にて問題は解決していない。一般的に特定のISPユーザーに偏って長期間脆弱なルータが使用し続けられる状況は考え難い。そのため、JPCERT/CCは大量購入した特定のユーザーまたは業者が何らかの目的で脆弱なファームウェアを使用し続けている可能性があると指摘している。

なお、TP-Link Archer AX3000からはOSコマンドインジェクションの脆弱性が発見されており、ファームウェアアップデートが推奨されている(参考：「TP-Linkの無線LANルーターに脆弱性、アップデートを | TECH+（テックプラス）」)。
○最多パケットはtelnet

期間中に受信したパケットの最多宛先ポートは国内外ともにTCPポート23(telnet)となった。海外センサーにおいては、TCPポート80(HTTP)、TCPポート8728(MikroTikルータのAPI)、TCPポート22(SSH)なども多く受信している。これらはネットワークスキャンを目的にしたものと推測されている。

○保守、管理における留意点

JPCERT/CCはネットワーク機器を運用している管理者に対し、定期的な保守および管理を求めている。特にインターネットに接続している機器は脅威アクターに狙われることが多く、社内ネットワークへの不正アクセスや踏み台に悪用される可能性がある。このような機器のソフトウェアは最新の状態を維持し、ログイン画面をインターネットに公開しないよう設定することが推奨されている。
（後藤大地）