ハニーポットの観測(T-Pot:2023/9/9~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は150万件でした。

アクセス数上位ポート ①123(NTP) ②445(SMB) ③1900(SSDP) ④22(SSH) ⑤28326(???)

今週は再び増加に転じて、100万件を超えました。

There were 1.5 million accesses this week.
Top Ports Accessed ①123 (NTP) ②445 (SMB) ③1900 (SSDP) ④22 (SSH) ⑤28326(???)
This week, the number of accesses turned to increase again and exceeded 1 million.

NTP(123)だけを見ると、日本が9日~13日にかけて突出しています。しかし他の国を見ると、アクセス総数の違いはあれ、国ごとのアクセス比率は一定です。協調していますね。

右図は1900番ポート(SSDP)だけを抽出したグラフです。「ブラジル」と「パラグアイ」が突出しています。けれどもグラフの形が同じことから、これらは、SSDPによる探索等というよりも、1900番ポートを使ったDDoSだと考えられます。

Looking at NTP (123) alone, Japan is prominent from the 9th to the 13th. However, looking at the other countries, the access ratio per country is constant, although the total number of accesses varies. It is very cooperative.
The graph on the right shows only port 1900 (SSDP). Brazil" and "Paraguay" are prominent. However, since the shape of the graph is the same, these are considered to be DDoS using port 1900, rather than a search by SSDP.

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国(DoS以外)

① 中国(445)SMB

② 日本(445)SMB

③ インド(445)SMB

④ アメリカ(22)SSH

⑤ ブラジル(1025)Windows宛?

今週はロシアが鳴りを潜めてます。SMBは相変わらず人気で、アクセスが大量に来ていました。ただ今週目立ったのは、ブラジルの1025番ポート宛のアクセスです。かつて1025番ポート宛のスキャンが増加して注意喚起が出されたことがあったみたいですが、最近は見かけません。このアクセスはかつてのスキャンと関係があるのでしょうか?

Top accessed countries (other than DoS)
① China (445) SMB
② Japan (445) SMB
③ India (445) SMB
④ U.S.A. (22) SSH
⑤ Brazil (1025) Windows?

Russia rings a bell this week, while SMB remains popular and received a large number of accesses. However, what stood out this week was accesses to port 1025 in Brazil. It seems that there was once an alert issued due to an increase in scans to port 1025, but we haven't seen it recently. Could this access be related to the former scans?

今週の攻撃IDパスワード Attack ID & password of the week

今週は再び、固定IPアドレス直撃のアクセスがありました。その数は91件。それほど多くない???

This week, there were again accesses directly to fixed IP addresses. The number of accesses was 91. Not that many?

一週間の出来事

9/7Microsoftは、近い将来サードパーティ製のプリンタードライバーの配信を廃止すると発表した。9/12
GigaZiNE
9/7トロント大学の研修室が、画像処理を利用し、ユーザーの介在なしに侵害できる「BLASTPASS」を発見したと発表した。セキュリティアップデートは配信炭。9/8
GigaZiNE
9/11フィッシングメール。東京電力福島第一原子力発電所において、8月24日から処理水の海洋放出が開始されたが、それに合わせて「日本生命」を名乗り、ALPS処理水による病気と診断された場合「1000万円を支払う」というフィッシングメールが出回っている。「氏名」「生年月日」「メールアドレス」「住所」「電話番号」「クレジットカード」情報などを詐取しようとしている。9/13
SecurityNext
9/13IPAは、悪玉ハッカーになり、その組織の幹部となるべくサイバー攻撃を仕掛けるボードゲームを公表した。9/15
SecurityNext
9/14厚生中央病院は、職員が自宅で使用しているパソコンが、サポート詐欺に遭い、遠隔操作される事案が発生したと発表した。当該パソコンに接続していたUSBメモリには、患者の情報が含まれていたという。
9/15マツダは、7月24日に不正な通信を検知し、個人情報の一部が流出した可能性があると発表した。同社に設置したアプリケーションサーバーの脆弱性が悪用されたものだという。現在のところ情報流出は確認されていない。9/20
ITmedia

コメント