ハニーポットの観測(T-Pot:2024/1/27~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート

今週は132万件でした。

アクセス数上位ポート ①5900 ②123 ③445 ④22 ⑤1900

今週は5900番ポート(VNC)へのアクセスが123番ポート(NTP)を超えました。つまりRDP関係のポート探索が非常に活発なのがわかります。最近のランサムウェアの被害が後を絶たないことと関連があるのでしょうか?

There were 1.32 million accesses this week.
Top Ports Accessed ①5900 ②123 ③445 ④22 ⑤1900
This week, accesses to port 5900 (VNC) exceeded those to port 123 (NTP). In other words, we can see that RDP-related port search is very active. Could this be related to the recent rash of ransomware attacks?
except ports 19,123 and 1900

2/1(JST)に1900番ポート(UPnP)へのアクセスが47,000件と極端だった以外は普段と変わりません。

先ほどの1900番ポートへのアクセスは、個々ではわかりにくいですが、「アメリカ」と「南アフリカ」からが大半でした。

except ports 19.123 and 1900
only ports 5900
only port 5900

5900番ポートのみを抜き出してみると、いろいろな国から、たくさん満遍なくやってきていることがわかります。ただ、「ポーランド」「ウクライナ」「リトアニア」「エストニア」など、普段あまり聞かない国が上位になっています。

No change from usual except for an extreme 47,000 accesses to port 1900 (UPnP) on 2/1 (JST).
The majority of the accesses to port 1900 mentioned earlier were from the "United States" and "South Africa," although it is difficult to tell individually.
If we take out only port 5900, we can see that a lot of accesses were coming from various countries, and in a uniform manner. However, countries such as "Poland," "Ukraine," "Lithuania," and "Estonia," which are not usually heard of, are at the top of the list.

今週のアクセス数上位国

except ports 19,123 and 1900

アクセス数上位国(DDoS以外)

①ポーランド(5900) ②ウクライナ(5900) ③ロシア(22)

④インド(445) ⑤中国(22)

先ほど、5900番ポートへのアクセスは、普段見慣れない国からが多いと言いましたが、やはり、今週はDDoS以外では、5900番ポートが一番多かっただけに、ここでもそれが如実にわかります。5900番ポートへのアクセスが多い国が、全体的にも多い国になっています。

Top countries by number of accesses (non-DDoS)
(1) Poland (5900) (2) Ukraine (5900) (3) Russia (22) (4) India (445) (5) China (22)
As I said earlier, accesses to port 5900 are often from countries we are not used to seeing, but as expected, port 5900 was the most common non-DDoS access this week, and this can be seen here as well: countries with the most accesses to port 5900 are also the most common countries overall.

今週の攻撃IDパスワード

only port 5900

今週も5900番ポートへのアクセスにかかるパスワードを抜き出しましたが、傾向は先週と変わりません。

This week we again extracted passwords for access to port 5900, and the trend is the same as last week.

その他

1/29日本のDMARC導入率13%、米豪と大きな差 – NRIセキュア調査SecurityNext
1/24企業のセキュリティ問題を突き止めた研究者に裁判所が罰金を科す、有益な研究が阻害されてユーザーが危険にさらされる可能性もGigaZiNE
1/31「FreeRDP」のクライアントに脆弱性 – アップデートで修正SecurityNext
2/1「サイバーセキュリティ月間2024」がスタート – 「全員参加」を呼びかけSecurityNext
2/2Cloudflareが社内Wikiなどをホストするサーバーへ不正アクセスされたことを発表、分析・対応済みでユーザーデータやシステムへの影響はなしGigaZiNE
2/2サイトが改ざん被害、アラビア語の通販サイトに誘導 – 三浦工業SecurityNext

スポンサーリンク

コメント