JPCERT/CC、「RDP」(リモートデスクトッププロトコル)3389番へのポートスキャンで注意喚起 | RBB TODAY
MENU

JPCERT/CC、「RDP」(リモートデスクトッププロトコル)3389番へのポートスキャンで注意喚起

ブロードバンド セキュリティ
注目記事
インターネット定点観測システム(ISDAS)TCP 3389番ポート指定グラフ (2011/08/01-2011/09/07)
インターネット定点観測システム(ISDAS)TCP 3389番ポート指定グラフ (2011/08/01-2011/09/07) 全 2 枚
/
拡大写真
 JPCERTコーディネーションセンター(JPCERT/CC)は7日、「Remote Desktop(RDP)が使用する3389番ポートへのスキャンに関する注意喚起」を公開した。

 RDP(リモートデスクトッププロトコル)は、TCPポート「3389」を使用して接続するが、JPCERT/CCでは、3389番ポートへのスキャンが、2011年8月中旬より増加していることを、インターネット定点観測システム (ISDAS)において確認しているとのこと。

 これらのスキャンの原因は特定できていないが、Windowsマシンの待ち受けポートを対象にスキャンを行い、その後パスワードクラックを行うマルウェア「Morto」の可能性が考えられるという。JPCERT/CCでは、本スキャンを行っていると考えられるMortoを入手し、動作検証を実施。マルウェアに感染したコンピュータは、DNSサーバにリクエストを送信し、近くのIPアドレスのTCP 3389番ポートに対しスキャンを行い、「administrator」「admin」「test」「user」「guest」「support_388945a0(リモートアシスタンスのデフォルトID)」など、さまざまなIDを使いRDPでログインを試み、ログインに成功すると、マルウェアに感染させることが確認された。

 ISDASでは、日本国内の複数のIPアドレスからのスキャンを観測し、管理者に通知を行い、8月28日以降、TCP 3389番に対するスキャンは減少しているとしている。JPCERT/CCでは、RDP(TCP 3389番ポート) を使用するサービスを利用している場合、脆弱なパスワードを使用しないこと、不要なアカウントはログイン制限をかけること、ルータやFirewallなどで外部からのTCP 3389番ポートに対しアクセス制御を行うことを呼びかけている。

《冨岡晶》

特集

【注目記事】
【注目の記事】[PR]

この記事の写真

/

関連リンク

関連ニュース

ホーム ブロードバンド セキュリティ 記事
TOP