【ハニーポットの検証】ハニーポット設置156日目 ~5月の攻撃の傾向は?~
先日、大阪で開催された@ITセキュリティセミナーRoadshowに参加させていただきました。
@IT セキュリティセミナー 東京・大阪・福岡・札幌ロードショー
一番の目的は、もちろん、いつもどおり「セキュリティリサーチャーズナイト」です。辻さん、根岸さん、piyokangoさんの3名がパネリストとなってセキュリティリサーチャーとしてのあれこれをお話しされているのですが、毎回違ったお話が聞けて非常に参考になります。
いずれ、「セキュリティのアレ」にゲスト参加させていただけるようになれればいいなぁと、妄想しながら、スキルアップに励んでいきたいと思います!
podcast - #セキュリティのアレ - ゆるーいセキュリティのポッドキャストですよ。
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
前回の記事を書いた日から、大きな攻撃は途絶えてしまったようですね。
ここ最近は、あまり大きな攻撃は届いていないようです。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
やはり、今日もそれほど大きな攻撃は来ていなさそうですね。
安心して、用意していたテーマに入ることができそうです。
5月の攻撃の動向
ハニーポット毎の攻撃回数
攻撃数は、4月に大きく減少していましたが、5月は少し増加しています。
特筆すべきは「Mailoney」「Glastpf」ですね。
攻撃数がかなり多かった2月、3月と比較しても、けた違いに数が増えています。
ただ、「Glastpf」は、一時期WOWHonepotを入れていた関係で停止していた時期もありますので、完全な比較ではありません。
国別の攻撃回数 TOP10
想像していたよりロシアの順位が低いですね。それでも先月と比較すると、2ランクアップの4位なので、決して少ない件数ではないのですが…。
メキシコがランク外から一気に2位に浮上しています。
こちら、メキシコからの攻撃の種類ですが、ほとんどがCowrieですね。
攻撃元のIPアドレスとAS/Nです。IPアドレスは比較的ばらけているのですが、AS/Nはほぼ同じところから攻撃を受けているのが分かります。
調べてみたところ、法人顧客相手のISPのようですね。法人から直接攻撃を受けている可能性もありますが、特定の法人でBOTが蔓延している可能性も捨てきれないですね。
ポート毎の攻撃回数
Port別では、殿堂入りのSSH、Telnetに関するPort(Port:22、Port23)は良しとして、3位に前回29位のPort:5900が浮上しています。
VNCに関するポートのようで、Vnclowpotの件数が増えたことによるものだと考えられそうですね。
HTTPで使用するPort:80も、前回に比べると大きく増えていますね。他は、Port:6780が気になるところです。
気になるPortはいろいろあるのですが、検索してもはっきり「これ!」とわかる情報が見つけられないのがもどかしいですね。
もう少し、検索技術も向上させないといけないですね。