【ハニーポットの検証】ハニーポット設置68日目 ~今日は日本にDDoS攻撃が行われた?~
残念ながら、SECCON Beginnerの開催が延期になったようです。3月は少しバタバタしてますので、延期がありがたいような、少し残念なような…。
先日、東芝社が不正アクセスによって個人情報(社員のメールアドレス)が100件ほど流出してしまったようです。どういった経緯で情報が漏洩したのか気になりますね。
ハニーポットで何か見つかればいいなと期待して、見てみましょう。
まずは7日間の推移です。
Cowrieがないと、こうなります。
本日、10時前後に複数のインターネット回線にトラブルがあったようですが、それと影響しているのでしょうか?
本日、Cowrieが非常に多く発生しています。最も多いのが午前6時台で、155,218件となっています。これまで多い時で50,000件程度でしたので、なんとその3倍です。
また、 Vnclowpotについても、これまで10件程度だったのが、15時台で1,096件と、100倍もの攻撃を受けています。
次に、本日1日分です。
先ほど記載した時間帯で件数が飛び出しているのが分かりますね。1つ気になったのが、Honeypot AS/N - Top 10の一番上、No.31,Jin-rong Streetです。今回の特出したCowrieはこいつの仕業なのですが、どうもNo.31,Jin-rong Streetの防犯カメラか何かが乗っ取られていますね。
Suricata Alert Signature - Top 10をみると、しっかり「linux.mirai」という表記が見れます。
つまり、日本全土を狙ったDDoS攻撃があったということなのでしょうか?
「艦これ」「グランブルーファンタジー」「プリンセスコネクト」でもDDoSを受けた旨の告知を出していますね。