ハニーポットの観測(T-Pot:2023/4/29~)Observation of Honeypot

PC
ブログ

先週お伝えしました通り、やっとパソコンを更新して、普通に観測できるようになりました。RaspberryPiと比較して、かなり快適です。現在のところCPU使用率もメモリ使用率も過度な負担はありません。これらのダッシュボードが表示されるまで1分程度かかっていたのが、数秒になりました。RaspberryPiは、T-Potのスペックを満たしていましたが、やはりスペックを満たすだけでは、快適に観測はできません。今回思い知りました。

As I told you last week, I finally updated my computer and now I can observe normally. Compared to RaspberryPi, it's pretty comfortable. So far neither CPU usage nor memory usage is overloaded. What used to take a minute or so for these dashboards to appear is now a few seconds. The RaspberryPi met the specifications of the T-Pot, but just meeting the specifications is not enough for comfortable observation. I realized this time.

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は86万件でした。アクセス数上位ポート ①123 ②445 ③22 ④23 ⑤19

5月4日(JST)からの123番ポートへの大量アクセスのおかげで、86万件のアクセスのうち、43万件(半分)が123番ポートへのアクセスでした。DDoSは本当に脅威です。

This week it was 860,000. Ports with the highest number of accesses ①123 ②445 ③22 ④23 ⑤19
Thanks to the massive access to port 123 from May 4th (JST), 430,000 (half) of the 860,000 accesses were to port 123. DDoS is a real threat.

左図のように123番ポートへは、「アメリカ」・「香港」が1、2位を占めています。わかりづらいですが、「ウクライナ」「スウェーデン」「リトアニア」が重なって3位です。この5国にあるBotから一斉にDDoSが来たのですね。

As shown in the left figure, "America" and "Hong Kong" occupy the first and second place to port 123. It's hard to tell, but "Ukraine", "Sweden" and "Lithuania" are in third place. DDoS came all at once from bots in these five countries.

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国 ①アメリカ(123) ②香港(123) ③オランダ(123) ④中国(445) ⑤コロンビア(123)

中国は相変わらず445番ポート(SMB)が多いですが、それ以外は全部123番ポート(NTP)です。

Countries with the highest number of accesses ①United States (123) ②Hong Kong (123) ③Netherlands (123) ④China (445) ⑤Colombia (123)
Port 445 (SMB) is still common in China, but all other ports are port 123 (NTP).

今週の攻撃IDパスワード Attack ID & password of the week

一週間の出来事

5/1JPCERETは、金融機関を標的に攻撃展開している「Danferous Password」の最近観測された攻撃手法を明らかにした。
・Linkedinから不正なCHMファイルを送りつけてくる攻撃
・OneNoteファイルを利用した攻撃
・仮想ハードディスク(Virtual Hard Disk)ファイルを利用した攻撃
・macOSを狙った攻撃
5/8
SecurityNext
5/1Acronisは、ランサムウェア被害が拡大している今「サイバープロテクション」と「サイバーレジリエンス」が大事と考える。
「サイバープロテクション」は、サイバーセキュリティとデータ保護を統合するという考え方。「サイバーレジリエンス」は、回復力や対応力を指す。
日本は、個人情報漏えいに対する規定を知らない企業も多く、セキュリティ投資額の低さも目立つ。
日本でまず実践できることは
「バックアップ」「パッチ適用」「パスワード強化」「セキュリティツール導入」っだと考える。
5/1
ITMedia
5/1ジーベン氏は、スマホの位置情報をオフにしても、通信事業者には位置情報が筒抜けであることが指摘された。通信基地からの測量を行えば位置特定は困難ではなく、SIMを入れてなくても、緊急通報サービスの提供のために通信を行っていることを忘れてはいけないという。5/1
GigaZiNE
5/2Appleは、「AirPods」などに、以前にペアリングされたデバイスへ接続要求を行った際、Bluetoothの通信範囲で、攻撃者がデバイスになりすまし、ヘッドホンへアクセス可能になるという脆弱性があると公表した。CVE-2023-279645/8
SecurityNext
5/3国土交通省は、ドローン情報基盤システムにおいて、システム利用者から特定の操作を行うと他人の申請情報が閲覧可能な状態となる恐れがあったと公表した。設計上の不具合だという。5/11
SecurityNext

コメント