SSDPが空いてるらしい

JPCERT/CCでは、2016年よりMiraiおよび亜種について感染活動の観測・調査を行い、国内外における感染拡大の防止に努めています。2017年10月30日より、国内でMirai亜種の感染が広がっていることを確認し、12月19日に注意喚起を発行しました。この注意喚起を発行するにあたり、機器ベンダーと協力し、感染した機器を特定する調査を進めました。今回は、その調査方法の一部を紹介します。
外部観測と初動調査 2017年10月末より国内で確認されたMirai亜種に感染した機器は、グローバルIPアドレスに対して23/TCP, 2323/TCP のスキャン活動を行っていました。JPCERT/CC の定点観測システム（TSUBAME）では、そのスキャン活動と機器のIPアドレスを確認しました。[1]
それらのIPアドレスを、国内外のセキュリティ研究組織から提供されたネットワークスキャンの調査結果と照合すると、多くのIPアドレスはインターネットからSimple Service Discovery Protocol（SSDP）のサービスへ通信ができる状態であったことが判明しました。

SSDPの応答情報を活用したMirai亜種感染機器の特定方法(2018-02-15) - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ