
2024年8月19日 JPCERTの定点観測レポートの公開とあわせて、レポートには記述していない海外に設置しているセンサーの観測動向の比較や、その他の活動などが公開され、その中でTP-LINK製のルーターからtelnetを探索する動きを指摘しました。また、TP-LINK ルーターは米国でも危険性を指摘されています。
TP-LINK製のルーターからtelnetを探索する動き
探索パケットの送信元のIPアドレスを調査したところ、TP-LINK製の無線LANルーターを多く発見しました。特に数が多かったものとして、TP-LINK社製のAX3000、Firmwareバージョン1.0.0で動作しているものが見られました。

画像引用:JPCERT
上記のログイン画面へアクセスしている、送信元のIPアドレスに対してWHOISレコードから、ISPやネットワークレンジに設置されていることが多いのかを確認したところ、あるISP内の5つのネットワークレンジからの通信に偏っているように見えました。
これら5つのネットワークレンジについて、TSUBAMEで観測した送信元IPアドレス数の推移を以下に示します。

画像引用:JPCERT
TP-LINK AX3000とは
TP-LINK AX3000は現在も家電量販店でも見かけるような製品で、
さまざまなユーザーが本製品を購入していると考えられ、特定のISP内のユーザーばかりが特定のFirmwareバージョンを使用し続けるといった状況は、通常考えにくいです。何らかの理由で大量購入した特定のユーザー、もしくはサービスなどを提供している業者等が、一括管理を行う目的で特定のFirmwareバージョンを使用しているのではないかとも推測できるとのこと
TP-LINKのtelnetを積極的に探索
各センサーには、それぞれグローバルIPアドレスが1つ割り当てられています。各センサーで観測状況に違いがあるかを見るために、表1に国内外のセンサーごとに届いたパケットTOP10をまとめました。センサーごとに順位に差はありますが、23/TCP、8728/TCP、22/TCP、8080/TCP、80/TCP、ICMP等はほぼすべてのセンサーで観測していました。これらは広範囲のネットワークにてスキャンが行われていることを示唆していると考えられるとのこと
国内センサー1 | 国内センサー2 | 国内センサー3 | 海外センサー1 | 海外センサー2 | 海外センサー3 | |
1番目 | 23/TCP | 23/TCP | 23/TCP | 23/TCP | ICMP | 23/TCP |
2番目 | 8728/TCP | 8728/TCP | 8728/TCP | 80/TCP | 23/TCP | ICMP |
3番目 | 6379/TCP | 80/TCP | 6379/TCP | 22/TCP | 8728/TCP | 80/TCP |
4番目 | 22/TCP | 6379/TCP | 22/TCP | 8728/TCP | 80/TCP | 8728/TCP |
5番目 | 80/TCP | 22/TCP | 80/TCP | 443/TCP | 22/TCP | 6379/TCP |
6番目 | 3389/TCP | 3389/TCP | 8443/TCP | 3389/TCP | 443/TCP | 22/TCP |
7番目 | 4719/TCP | ICMP | 3389/TCP | 8080/TCP | 8080/TCP | 443/TCP |
8番目 | ICMP | 8080/TCP | ICMP | ICMP | 3389/TCP | 8080/TCP |
9番目 | 8080/TCP | 443/TCP | 4719/TCP | 445/TCP | 2222/TCP | 3389/TCP |
10番目 | 445/TCP | 2222/TCP | 8080/TCP | 8081/TCP | 8081/TCP | 2222/TCP |
危険性を指摘されるTP-LINK ルーター
アメリカの2名の議員が中国製ルーター TP-Linkへ米商務省の調査実施と同ルターを利用する事は国家安全保障上の脅威であると書簡で危険性やリスクを指摘しています。TP-LINK ルーターは米国でも一般家庭やSOHOなどに利用され、その中には米国政府機関も含まれています。
過去中国のAPTグループ Volt Typhoon(ボルトタイフーン)はSOHOや一般家庭に設置されていたルーターを踏み台にして、グアムの米国政府関連施設や軍事施設へ侵入を行っており、同様の手口でのTP-LINK ルーターを悪用したサイバー攻撃と不正アクセスのリスクが存在します。