ハニーポットの観測(T-Pot:2023/6/24~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート Top Ports Accessed This Week

今週は121万件でした。 アクセス数上位ポート ①123 ②445 ③22 ④5900 ⑤25

今週も100万件を超えました。最近は通常100万件超えです。DDoSが活発になってきています。

There were 1.21 million accesses this week. Top accessed ports: (1) 123 (2) 445 (3) 22 (4) 5900 (5) 25
The number of accesses exceeded 1 million again this week. DDoS is becoming more active.

2番目に多い445/TCPは、SMBへの攻撃ですが、上図のように我が家のIPアドレス宛でsmbにつながる共有フォルダへのアクセスを試みていることがわかります。このことからも、クラッカーからすると、SMBによる不正アクセスが未だに効率が良いのかもしれません。

The second most common 445/TCP is an attack on SMB, but as shown in the figure above, it is an attempt to access a shared folder that leads to smb addressed to our IP address. This suggests that unauthorized access via SMB may still be more efficient from the cracker's point of view.

今週のアクセス数上位国 Top countries accessed this week

アクセス数上位国 ①フランス(123) ②アメリカ(123) ③中国(123) ④シンガポール(123) ⑤香港(123)

123番を省くと、445番ポートへのアクセスが多かったです。その大半はインドです。そしてインドからは3389番ポート(RDP)へのアクセスが多かったです。インドからは、22番(SSH)、23(telnet)、80(HTTP)、445(SMB)、3389(RDP)と情報を摂取しようとするためのアクセスが多いように感じました。

Top Access Countries ①France (123) ②USA (123) ③China (123) ④Singapore (123) ⑤Hong Kong (123)
If we omit port 123, there were many accesses to port 445. Most of them are from India. And from India, there were many accesses to port 3389 (RDP). From India, there seemed to be many accesses to 22 (SSH), 23 (telnet), 80 (HTTP), 445 (SMB), and 3389 (RDP) to try to ingest information.

今週の攻撃IDパスワード Attack ID & password of the week

今週はパスワードが「1」であるUsernameを取り上げてみました。結構多いですね。パスワードを「1」にしている人なんているのでしょうか?それとも、ブルートフォースをするときにまずは「1」から始まるからこのような感じになるのでしょうか?

This week we took a look at Username, whose password is "1". That is quite common. Who has a password of "1"? Or is it like this because when you brute force it, you start with "1" first?

一週間の出来事

6/27NECは、生産を終了したルーター17機種に「OSコマンドインジェクション」「XSS」による悪用可能な脆弱性があると公表した。対策は公表しているが、アップデートのリリース予定はないとしている。6/27
SecurityNext
6/28Rapid7は、日本企業を狙ったサイバー攻撃についての調査分析した報告書を公開した。最大のセキュリティリスクは日本企業そのものではなく、日本企業と関連する海外企業や子会社を攻撃ベクトルとする傾向があるという。6/30
ITmedia
6/28SecurityJoesは、パーミッションにRWXを持つDLLによってリモートプロセスにコードを注入するプロセスインジェクション技術「Mockingjay」を発見したと公表した。これは、EDRによる検出回避が優れているという。6/29
ITmedia
6/29ウォータール大学のアンドレ・カシス氏によると、あまり洗練されていない音声認証システムでは声紋を偽造すると6回の試行で99%突破できたという。AmazonConnectの音声認証システムに対して行ったテストでは、1回4秒の攻撃で10%の確率で音声認証システムを突破することに成功し、約30秒の攻撃では成功率が40%以上に上昇したという。6/29
GigaZiNE
6/30さいたま市は、さいたま市立南浦和中学校調査報告書のPDFファイルを公開した際、黒塗り部分を開場できる状態だったことを明らかにした。6/30
SecurityNext
6/30オープンソース認証プラットフォーム「Fief」にSSTIの脆弱性があったことが明らかとなった。6/30
SecurityNext
6/30BishopFoxは、CVE-2023-27997の脆弱性が指摘されている製品の69%(33万)がパッチ未適用であると報じた。7/5
ITmedia

コメント