【IIJ】仮想通貨「Ethereum」のクライアントを狙ったスキャン活動の観測について - グッドウェイ：金融・IT業界・フィンテック情報ポータルサイト（GoodWay Fintech）

ログイン

金融＆ＩＴ業界の情報サイト

【IT業界ニュース】　>>　記事詳細

< 前の記事へ次の記事へ >

2019/01/16	【IIJ】仮想通貨「Ethereum」のクライアントを狙ったスキャン活動の観測について	\| by:ウェブ管理者

■EthereumのJSON RPCにおけるスキャン活動の観測
SOCでは、仮想通貨の一つであるEthereumのクライアントを対象としたスキャン活動の増加を観測しました。攻撃者が狙ったポートは8545/TCPであり、このポートはEthereumのクライアントに対してJSON RPC（JSON Remote Procedure Call）を用いてアクセスするためのインターフェースとして設定されることが知られています。JSON RPCはJSON形式で遠隔からプログラムに処理を依頼するためのプロトコルで、複数の仮想通貨のクライアントで利用されている通信プロトコルとなります。
EthereumのクライアントにおいてJSON RPCの通信をインターネット上へ公開してアクセスする場合は、送信元IPアドレスをフィルタリングするなどの措置を取る必要があります。JSON RPCの利用方法については、2015年8月29日にEthereumの公式ブログhttps://blog.ethereum.org/2015/08/29/security-alert-insecurely-configured-geth-can-make-funds-remotely-accessible/　でも注意喚起されています。また、2019年1月10日時点のShodanによる調査では、8545/TCPを外部に公開している端末が約4600台存在することを確認しています。

■SOCでの観測情報
2018年12月3日から8545/TCPにおけるスキャン活動をIIJマネージドファイアウォールサービスで観測しています。以下に2018年12月中の観測状況をグラフに示します。

対象期間中に観測したスキャン活動の特徴として、2018年12月3日の20時ごろから2018年12月14日15時までロシア（RU）を送信元とするスキャン活動を多く観測しました。日常的に観測している8545/TCPに対する通信に対して、1時間あたり最大で約15倍の増加率となっています。また、ロシアを送信元とするスキャンと入れ替わるように、対象期間中の終わりにかけて米国（US）を送信元とするスキャンが多くを占めるようになっています。さらに、2018年12月19日の23時頃から新たにブルガリア共和国（BG）を送信元とするスキャンが増加しています。このスキャン活動はZDnet社の記事https://www.zdnet.com/article/hackers-ramp-up-attacks-on-mining-rigs-before-ethereum-price-crashes-into-the-gutter/でも取り上げられています。

原文はこちら
https://wizsafe.iij.ad.jp/2019/01/541/

15:04 | IT：一般

< 前の記事へ次の記事へ >一覧へ戻る

【免責事項】
サイト掲載情報の正確性、および完全性については最善を尽くしておりますが、その内容を保証するものではございません。また利用者が当サイト、およびサイトに関連するコンテンツ、リンク先サイトにおける一切のサービス等を利用されたことに起因、または関連して生じた一切の損害（間接的、直接的を問わず）について、当社、当サイト、投稿者および情報提供者は一切の責任を負いません。

ログイン