ハニーポットの観測(T-Pot:2022/12/10~)Observation of Honeypot

PC
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

アクセス数上位ポート ①53番 ②445番 ③123番 ④22番 ⑤23番

今週は89万件程度でした。先週と比べると約半分です。ブラジルからのアクセスが、12月14日(ブラジル現地は12月13日かな)から、突然なくなったことが要因でしょう。これは、FBIがDDoSサービスを提供していた48のドメインを押収したことと関係があるのでしょうか?

Ports with the highest number of accesses ①53 ②445 ③123 ④22 ⑤23
This week it was aroud 890,000 accesses. About half of what it was last week. Is it because access from Brazil suddenly disappeared from December 14th? Could it have something to do with the FBI seizing 48 domains that were providing DDoS services?

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国 ①ブラジル(53) ②中国(445) ③アメリカ(123) ④ロシア(445) ⑤ベトナム(445)

途中からブラジルがほとんどなくなったとはいえ、53番にDNSリフレクションが来ていたことの影響は大きく、今週も一位でした。このブラジルの一時的なDNSリフレクションは何だったのでしょう?

Countries with the highest number of accesses ①Brazil (53) ②China (445) ③USA (123) ④Russia (445) ⑤Vietnam (445)
Brazil's access disappeared from the middle. However, the impact of the DNS reflection attack on port 53 was large, so Brazil was ranked first.What was the temporary DNS reflection attack from Brazil?

今週の攻撃IDパスワード Attack ID & password of the week

今週Suricataが取得したCVE番号付きは「CVE-2006-2369」でした。 RealVNC Server の認証回避可能な脆弱性 この攻撃が今でも有効な機器はあるのでしょうか?

The CVE number that Suricata was attacked the most this week was "CVE-2006-2369". Are there still devices affected by this "RealVNC Server authentication bypass vulnerability"?
12/12
現地
FortinetはFortiOS SSL-VPNにおけるヒープベースのBOFの脆弱性を悪用して、認証されていないリモートからの作されたリクエストにより任意のコマンドを実行できる可能性があることを発表した。この脆弱性に対する攻撃はすでに確認されているという。12/14
JPCERT/CC
12/12東海国立大学機構は、運用するサーバーがランサムウェア被害を受け、個人情報を外部に流出した可能性があることを明らかにした。「氏名、所属、身分、生年月日、性別、学籍番号、職員番号、機構ID、アカウント、ハッシュ化されたパスワード、メールアドレス」などが含まれるという。10月17日パスワードの変更ができないと連絡があり発覚した。ネットワーク機器の設定に不備があり、外部からシステムへのアクセスが可能な状態であったという。12/12
SecurityNext
12/13
現地
CitrixはCitrix Application Delivery ControllerやCitrix Gatewayの脆弱性の悪用で、リモートで未検証の第三者が任意のコードを実行できる可能性があると発表した。12/14
JPCERT/CC
12/13熊本県立大学は、名誉教授のメールアカウントが不正に利用され、メールシステムの情報が閲覧・取得された可能性が否定できない事案が発生したと発表した。
原則として二要素認証を求めているが、名誉教授はスマートフォンを持っていなかったため例外的に免除していた。使っていたパスワードは数桁程度でこれが不正ログインの原因になったとみている
12/13
熊本県立大学
12/14zscalerは、攻撃の85%が暗号化されたチャネルを使っており、昨年から20%増加しているという。製造業が239%、教育業界が134%と急増した。日本が標的となった件数は前年と比較して613%増となっている。2/11
ITmedia
12/14米国司法省は、DDoS請負サービスを提供していた6人を起訴した。そして、「ブーター」「ストレッサー」で人気のある48のドメインを押収した。12/14
Krebe on Security
12/15シャープ製のデジタル複合機に、コマンドインジェクションの脆弱性が存在する。12/15
JPCERT/CC
12/16中国語を使うハッカーグループが、2022年7月に行われた日本の参議院議員選挙において、政治家を標的としてフィッシングメールキャンペーンを展開していたと、ESETが報告した。内容には怪しい日本語ではなく、公式なメールと見分けがつかないほど文章がつづられていた。メールにはWinRARでアーカイブされた悪意ある添付ファイルがあり、開くと、「K7SysMon.exe」「K7SysMn1.dll」「K7SysMon.Exe.db」「おとり文書(事務連絡)」がtmpフォルダに展開されるが、同時に「おとり文書(事務連絡)」が開かれるため、無害であるかのように見せかけます。12/16
GigaziNE
12/16ランサムウェアの被害による復旧サービスを使った際のトラブルが発生している。日本データ復旧協会の調査では2019年4月から2022年10月の間に292件のトラブル被害をハックしているという。30%が契約前の説明と結果が相違している。25%が高額であったり、説明と相違するなどの金銭トラブルであった。そのためセキュリティ関連5団体がトラブルを未然に防ぐためのチェックシートを公開した。12/16
SecurityNext

コメント