ハニーポットの観測(T-Pot:2023/12/2~)Observation of Honeypot

セキュリティ
ブログ

今週のアクセス数上位ポート

今週は239万件でした。

アクセス数上位ポート ①53(DNS) ②123(NTP) ③445(SMB) ④6379(Redis) ⑤22(SSH)

今週は、一目瞭然です。53番ポート(DNS)のDDoSがダントツです。これ一色に染められてしまった感があります。2位のNTPも含めると他のものがかすんでしまいます。世の中は大半がDDoSで占められてしまっているのは本当の話です。

There were 2.39 million accesses this week.
Top Ports Accessed ①53 (DNS) ②123 (NTP) ③445 (SMB) ④6379 (Redis) ⑤22 (SSH)
This week, it is obvious at a glance: DDoS on port 53 (DNS) is the clear winner. If we include NTP in second place, all other DDoS are blurred. It is true that DDoS has taken over the majority of the world's traffic.

上図は、123番と53番へのアクセスを抜いたバージョンです。先週から始まりましたが、ベルギーからのアクセスが、心臓の鼓動のように来ています。

Above is a version without access to 123 and 53. Starting last week, accesses from Belgium are coming in like a heartbeat.

左図は、53番ポートへのアクセスのみを抽出したものです。ブラジルからの数が圧倒的です。

動画でも、ブラジルからのものが圧倒的におおことが見られます。

ちょっとわかりづらいですが、ブラジルから日本にかけてのDNSのDDoSがひっきりなしです。よく、家のルーターが正気を保っているなぁと感心します。

The left figure extracts only accesses to port 53. The number of accesses from Brazil is overwhelming.
In the video, it can be seen that the overwhelming majority are from Brazil.
It's a little hard to tell, but there is a constant stream of DNS DDoS from Brazil to Japan. I am amazed that my router at home is keeping its sanity.

右図は、123番ポートへのアクセスです。

全体的には、ほとんどの国がよく似た動きをしています。トルコは5日(JST)、バングラディッシュは6日(JST)から現れた新参者です。

The figure on the right shows access to port 123.
Overall, most countries are showing very similar movements. Turkey and Bangladesh are newcomers, appearing on the 5th (JST) and 6th (JST), respectively.

今週のアクセス数上位国

左図は、53番及び123番を抜いたバージョンです。

The left figure shows a version without numbers 53 and 123.

アクセス数上位国(DDoS以外)

① 中国(6379)

② アメリカ(22)

③ ブラジル(445)

④ ベルギー(443)

⑤ 香港(443)

今週は、DDoSに彩られて他のものがわかりづらくなった週でした。それらを除くと、各国の特徴が見えました。ベルギーは、Web関係のアクセスが主で、8000番台ポートがくまなく調べられてます。フランスはいろいろ来ていますが、25番ポートが一番中国は6379番ポート(Redis)です。

Top countries by number of accesses (excluding DDoS)
①China (6379)
② U.S.A.(22)
③Brazil(445)
④ Belgium(443)
⑤ Hong Kong (443)
This week was colored by DDoS, making it difficult to understand the others. Excluding those, we could see the characteristics of each country. In Belgium, web-related accesses are the main traffic, and port 8000 is being checked all over. France has a variety of traffic coming in, but port 25 is the most China is port 6379 (Redis).

今週の攻撃IDパスワード

その他

12/2「人は足りないが初心者はいらない」 セキュリティ業界が直面する深刻な人材不足JPCERT/CC
12/42023年国内サイバー攻撃を振り返る~組織が把握すべき動向~TrendMicro
12/42023年第3四半期 Webアプリケーションを狙ったサイバー攻撃検知レポート ~サーバファイル上を狙った攻撃「ディレクトリ・トラバーサル」が急増~CSC
12/4Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか?JPCERT/CC
12/5サイバー攻撃被害に係る情報の意図しない開示がもたらす情報共有活動への影響についてJPCERT/CC
12/5プロキシサーバ「Squid」にサービス拒否の脆弱性SecurityNext
12/5サイバー攻撃の情報共有で報告書 – 関連文書のパブコメもSecurityNext
12/5サポート終了したExchange Server約2万台が稼働中 複数の脆弱性があり注意JPCERT/CC
12/5全銀システムの障害はなぜ起きた? 全銀ネットらが課題と再発防止策を公開JPCERT/CC
12/6サイバー攻撃はなぜ日本を狙うのか? 2023年第3四半期の調査データと原因予測を発表JPCERT/CC
12/7ランサム感染で障害、システム図面などが流出 – レスターHDSecurityNext
12/7学習支援システムから学生情報が流出した可能性 – 名古屋芸大SecurityNext
12/7日産のオセアニア部門がサイバー攻撃を受けてデータ侵害の可能性を調査中GigaZiNE
12/81世帯あたり5万円? 給付金の手続き案内に見せかけたフィッシング攻撃SecurityNext
12/8「経産省サイバーセキュリティ課」をかたる偽電話が急増SecurityNext

コメント