【ハニーポットの検証】ハニーポット設置22日目 ~Telnetによる攻撃?~
前回、Cowrieのマルウェアと思われるファイルの集計を行うと記載していましたが、また、特徴的なログが見られましたので、今回もその情報を基に分析したいと思います。
まずは、12月21日~の状況です。
いつも多い「Cowrie」ですが、今日は特に多く発生しています。
そこで、1月9日~1月10日までに絞ってみると、このようになりました。
韓国から、大量に攻撃されているのが分かります。
韓国に限定して、攻撃されているポートを調べてみると、以下の通りになります。
普段、Port2222(実際にはPort22)のSSHが大量に来ていますが、この時だけはPort2223(実際にはPort23)のTelnetによる通信が大量に届いています。
おそらく、この攻撃はたまたまこの時間に韓国から集まったのではなく、何らかの意図によって大量に攻撃されているものと思われます。
そこで、攻撃に使われたIPアドレスを確認してみます。
1つのアドレスかと思っていましたが、意外にも3つのアドレスから大量な攻撃が届いていました。
もしかすると、ボットネットかもしれません。
ちなみに、韓国内の地域を見てみると、以下の通りとなります。
攻撃されている場所は、ソウルの南側に集中しているようです。ほかの地域からも攻撃が届いていますが、今回の大量の攻撃は、同じ地域からの攻撃の可能性が高そうです。
(約12万件の攻撃のうち、●の場所からだけで約9万7千件の攻撃が発生しています)
となると、ボットネットではなく、組織的な攻撃の可能性が高そうですね。
IPアドレスを調査してみると、上位3件とも「Korea Telecom」となっていました。
韓国最大の通信企業ということですので、複数回線を所有している何者かが、同社の回線を使用して攻撃してきているとみるべきでしょうか。
では、なぜ韓国から急に攻撃があったのでしょうか。
個人的には、「慰安婦問題」に関する韓国政府の方針に、何らかの関係があるのではないかと推測していますが、実際はどうなのでしょうか。