JPCERT/CCは10月10日、TCP 10000番ポートへのスキャンが 2014年9月下旬より増加しているとして注意喚起を行った。

この注意喚起は、JPCERT/CCのインターネット定点観測システム「TSUBAME」において確認された事象に基づくもの。TCP 10000番ポートは、Webベースのシステム管理ツールWebminの標準ポートとして利用されており、Webminは先日公表されたGNU bashの脆弱性の影響を受けるという。

TSUBAMEの観測データによると、TCP 10000番ポートへのスキャンが9月下旬から急増しているだけでなく、スキャンを行ってきた一部の送信元IP アドレスにおいてWebminのログイン画面と推測される応答を確認しているという。この結果から、Webmin が稼働するサーバが攻撃を受けた結果、第三者への攻撃の踏み台とされている可能性が考えられるという。

10月10日現在、TCP 10000番ポートを対象としたスキャンが継続していることから、今後も対策を行っていないサーバが攻撃を受け、第三者への攻撃などに使用される可能性があるため、影響を受けるバージョンのWebminおよびGNU bash を使用している場合は対策を講じる必要がある。

(川原 龍人/びぎねっと)

[関連リンク]
アナウンス