サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置169日目 ~攻撃増加は地震の影響か、W杯の影響か~

ハニーポット(T-POT)

 

この1週間、いろいろなことがありましたね。

 

今は異動で別の場所にいますが、出身が大阪でしたので、大阪の地震は本当に驚きました。被災地の方々には、1日でも早い復興をお祈りしています。 

大阪の地震に便乗して、フィッシングメール等を送り付けてくるやつがいるようです。災害に便乗する最低なメールに怒りを覚えます。

 

また、他人のPCを使用して仮想通貨のマイニングを行っていた人が逮捕されたというニュースもありました。賛否両論、様々な意見がありますが、個人的には逮捕には賛成です。

tk-secu.hateblo.jp

こちらの記事にも書きましたが、もともと私は他人のPCのマシンパワーを使用してマイニングするという行為には批判的でした。

このブログで最も閲覧回数が多いのもこちらの記事ですので、やはり皆様、興味はあるんだなと感じていましたが、ぜひcoinhive等のマイニングを好意的に捉えている方と議論してみたいですね。

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180621234921p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180621234837p:plain

1日だけ、ものすごいCowrieが発生しているせいで分かりにくいですが、honeytrapも2日ほど、異常値と思われる通信を受けていますね。

 

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180621235033p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180621235044p:plain

1日単位でみると、honeytrapがすこし来ている感じはしますが、それほど件数が多いわけではなさそうですね。

 

突出したCowrie

f:id:tk-secu:20180621235251p:plain

Cowrieは、ほとんどの日で1日当たり2万件~3万件ほど来ている、比較的よくくる攻撃ではありました。

しかし、6月18日は、10:00~11:00という僅か1時間の間に、53,371件という平日2日分ほどの攻撃を受けています。

f:id:tk-secu:20180621235636p:plain

実際に攻撃を受けた10:00~11:00のデータがこちらですが、珍しいことに国が特定できていません。

通常、こういった突発的に大きな攻撃を受ける際には、同じ場所からの攻撃であるケースが大半なのですが、今回はドイツ、オーストラリア、ロシア、アメリカと、4つの国から大量に攻撃を受けています。

f:id:tk-secu:20180621235840p:plain

このように、AS/NやIPアドレスも対象を分散しています。

 

6月18日は大阪で地震のあった日ですね。大阪の地震に便乗して攻撃を仕掛けてきているとも言えそうですね。

もしかすると、W杯でドイツがメキシコに敗れるといったニュースもあったようですので、その影響かもしれませんね。

突出したhoneytrap

f:id:tk-secu:20180622000511p:plain

honeytrapに大量に攻撃が寄せられたのは、Cowrieの前日と前々日の16日と17日でした。

こちらも、国が分散されていますね。スペイン、ドイツ、ロシア、フランス、ルーマニアから攻撃が届いています。

f:id:tk-secu:20180622000733p:plain

いずれもPortは2222(T-POTで変換しているため、本来のPortは22)で受信しています。

もしかしたら、IoTマルウェアのSatoriかもしれませんね。

www.itmedia.co.jp

しかし、satoriで使用されるPortは37215や52869だったはず…新種なのか、全く別の攻撃なのか…。

Cowrieと同様に、Port22が大量に狙われていることは間違いなさそうですね。

 

しかし、W杯が6月14日に始まってすぐに攻撃が増加していますので、おそらくW杯の影響なんでしょうが…。

東京オリンピックが不安になりますね。