ハニーポットの観測(T-Pot:2024/6/15~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート

今週は100万件でした。久々の100万件超えです。

アクセス数上位ポート ①123(NTP) ②445(SMB) ③22(SSH) ④25(SMTP) ⑤5900(RDP:VNC,Apple)

そして、NTPのDDoSが久々に増加に転じました。6月15日(JST)から21日まで1日置きごとくらいに10万件ずつやってきていました。

except port123

NTP以外のものを見てみると、相変わらず445番と22番が多いです。ただし、22番はエクアドルからが大半で、6月20日(JST)まで続いていましたが、それ以降はパッタリ止みました。21日~22日にかけては、25番ポートと5900番ポートが突出しましたが、25番ポートはリトアニアから、5900番ポートはウクライナからが大半でした。

This week was one million cases. It has been a long time since the number of accesses exceeded 1 million.
Top accessed ports ①123(NTP) ②445(SMB) ③22(SSH) ④25(SMTP) ⑤5900(RDP:VNC,Apple)
DDoS of NTP has been on the increase for a long time; from June 15 (JST) to 21, 100,000 accesses were coming every other day or so.

Looking at non-NTP items, numbers 445 and 22 remain the most common. From June 21 to 22, port 25 and port 5900 were prominent, but port 25 was mostly from Lithuania and port 5900 was mostly from Ukraine. The majority of the traffic was from Lithuania and Ukraine, respectively.

今週のアクセス数上位国

except port123
only port123

アクセス数上位国(123番ポート以外)

①アメリカ(22) ②インド(22) ③ 中国(22) ④エクアドル(22) ⑤ウクライナ(5900)

先週から続いた22番ポートへのエクアドルからのアクセスは、先ほどの結果から、今後減るでしょう。

久々にウクライナが上位に来ました。

リトアニアの25番ポートへのアクセスも目立ちます。

Top countries by number of accesses (excluding port 123)
(1) U.S.A. (22) (2) India (22) (3) China (22) (4) Ecuador (22) (5) Ukraine (5900)
The number of accesses from Ecuador to port 22, which has continued since last week, will decrease in the future based on the results just shown.
Ukraine has been at the top of the list for a while.
Accesses to port 25 from Lithuania are also noticeable.

今週の攻撃IDパスワード

今までは、あまり画面には出てきませんでしたが、、今週はパスワード「xc3511」「Pon521」がありました。

「xc3511」はIPカメラに使用されているデフォルトパスワードです。644回の試行がありました。

「Pon521」はONUなどに使われるGPON SFPモジュールのようです。telnetで接続する際のデフォルトパスワードです。296回の試行がありました。

また「hikvision」はWebカメラのデフォルトパスワードです。

So far, not much has appeared on the screen, but this week there were passwords "xc3511" and "Pon521".
xc3511" is the default password used for IP cameras. 644 attempts were made.
Pon521" appears to be a GPON SFP module used for ONUs, etc. It is the default password for telnet connections. 296 attempts were made.
hikvision" is the default password for the webcam.

その他

6/18情報セキュリティ早期警戒パートナーシップガイドラインIPAA
6/21イギリスの主要駅でAmazonのAI監視システムが国民への説明なしに導入されていたことが判明GigaZiNE
6/21個人情報漏洩などの報告処理、前年比約1.7倍に – 指導や助言も大幅増SecurityNext

コメント