ハニーポットの観測(T-Pot:2023/10/21~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は103万件でした。

アクセス数上位ポート ①123(NTP) ②445(SMB) ③22(SSH) ④6379(redis) ⑤23(telnet)

今週は、先週から60万件ほど減りましたが、それでも100万件をこえています。相変わらず多いです。23日からの123番ポートへのアクセスが香港を除いて、急激に減ったことが要因と考えられます。

There were 1.03 million accesses this week.
Top accessed ports ①123(NTP) ②445(SMB) ③22(SSH) ④6379(redis) ⑤23(telnet)
This week, the number of accesses decreased by about 600,000 from last week, but still exceeded 1,000,000. The number of accesses is still as high as ever, probably due to the sharp decrease in accesses to port 123 since the 23rd, except for Hong Kong.
To port 445
To port 123

上図は以前にに何回か特徴を感じましたが、やはり特徴は変わりませんね。

左上図は445番ポートへのアクセスの遷移ですが、いろいろな国から、別々の時間帯に集中したアクセスが観測されています。

右上図は123番ポートへのアクセスの遷移ですが、香港は一定ですが、それ以外のほとんどの国は、同じような形のグラフとなっています。

The above figure has been characterized several times before, but the characteristics are still the same.
The upper left figure shows the transition of accesses to port 445, and we observe concentrated accesses from various countries at different times of the day.
he upper right graph shows the transition of accesses to port 123, and while accesses to Hong Kong are constant, most of the other countries have a similar shape.

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国(DDos以外)

① インドネシア(445)SMB

② ベトナム(445)SMB

③ 中国(22)SSH

④ 日本(445)SMB

⑤ インド(445)SMB

NTPのDDoSを除けば、445番ポートへのアクセスが一番多かったので、アクセス数上位国の各国もSMBへのアクセスが多かったのですが、中国だけは22番ポートSSHへのアクセスが最多でした。逆に中国は445番ポートへのアクセスは少なかったです。

Top countries by number of accesses (excluding DDos)
1) Indonesia (445) SMB
2) Vietnam (445) SMB
3) China (22) SSH
4) Japan (445) SMB
5) India (445) SMB
Except for NTP DDoS, access to port 445 was the most common, so each of the top accessing countries also had many accesses to SMB, but only China had the most accesses to port 22 SSH. Conversely, China had few accesses to port 445.

今週の攻撃IDパスワード Attack ID & password of the week

その他

10/24パスワード管理アプリ「1Password」の開発企業で「不審なアクティビティ」が検出されるGigaZiNE
10/252023年7月に発生した「日本国内で利用されていたドメインが不正に別のレジストラに移管されるドメインハイジャックの事例」を紹介している。
事前対策としては、
「信頼できるブックマークからアクセスをする」
「2段階認証などのセキュリティ機能を活用」
「複雑なパスワードを使用し、使いまわさない」
JPCERT/CC

コメント