【ハニーポットの検証】ハニーポット設置89日目 ～2月の攻撃の傾向は？～

最近、kibanaで傾向を見る限り、急増している攻撃が見つかりませんので、今日は様々な視点から2月の攻撃動向を見ていきたいと思います。

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット】

【Cowrieを除くハニーポット】

改めて、攻撃があまりない1日となっていますね。

本日の攻撃状況

【全ハニーポット】

 【Cowrieを除くハニーポット】

全く攻撃がないわけではありませんが、やはり減少傾向にありますね。他の方はどうなのでしょうか…。後ほど、Slackで聞いてみたいと思います。

2月の攻撃の傾向

 新しい試みとして、2月の攻撃の傾向をいろいろな視点から見てみたいと思います。

【ハニーポット毎の攻撃回数】

　

　攻撃回数としては、圧倒的にCowrieが多いですね。次点はhoneytrapかと思っていたのですが、Vnclowpotのほうが2倍以上多いという状況でした。VirusTotalを組み込んだDionaeaは、1か月で2万回程度しか攻撃が届いていないですね。

【国毎の攻撃回数（TOP10）】

　国ごとで見てみると、Cowrieの大半を占めていたロシアが断トツでトップですね。2位の中国から6位のブラジルまでは似たような攻撃回数となっていますね。そこから、さらに半減しています。

　1か月に130万回以上の攻撃を行ってくるというのは、すごいですね。

【ポート毎の攻撃回数】

　Cowrie（SSH、Telnet）で使用される22番、23番ポートが非常に多い中、5900番ポートの件数が目立ちますね。

　何のポートか調べてみたところ、VNCで使用するポートということで、Vnclowpotの攻撃回数と近似値になっているのが確認できます。

　そうみると、Cowrieの攻撃回数の多さに対して、ポートごとの件数が少ないような気がしますね。

　kibanaで簡単に集められるデータだけを使って、傾向を見てみましたが、結構いろいろなことが分かりますね。ログを読めるようになったら、さらに深いところまで調べることができそうです。

　毎日kibanaを見ていても気付かないこともありましたので、定期的に数値を比較するのも重要そうな感じがしますね。