【ハニーポットの検証】ハニーポット設置212日目　～7月の攻撃の傾向は？～

ユーザID、パスワードの試行回数は、6月から7月にかけて大きく増加していましたが、実際の攻撃件数はどうなのでしょうか。

f:id:tk-secu:20180807233840p:plain

予想通り、7月の攻撃件数は6月よりも増加して170万件超となっています。

6月に急増した「Glastpf」については、半減していますね。ただ、途中からGlastpfを停止し、WOWHoneypotに変更していますので、この数値が正しいかどうかは微妙なところです。

また、7月はhoneytrapが非常に多いですね。ここは要注意かもしれません。

「Mailoney」は、メールアドレスを拡散した影響で増加したと思われます。しかし、たった10個程度のアドレスを拡散（1アドレスにつき１サイトのみに登録）しただけで、5倍近くにも増加するというのはすごいですね。

f:id:tk-secu:20180807234121p:plain

今回、大きな番狂わせがありました。

なんと、これまで10位圏内に入っていなかった台湾が、一気に増加して1位となっています。

2位は中国で、6月と比較すると4倍近くも増加していますね。一方、ベトナム、ロシアからの攻撃は低下しています。

ほかにも、ブルガリアやアルゼンチンなど、これまであまり出てこなかった国名が登場していますね。

f:id:tk-secu:20180807234521p:plain

Port別でも大きな番狂わせが生じています。

先月、TOP30に入っていなかったPort:110が、7月は1位に入っています。Port:110は、POP3のポートですので、Mailoneyのメール拡散が影響している可能性が考えられますね。仮説が正しいかどうか見てみましょう。

f:id:tk-secu:20180807234949p:plain

Port:110でフィルタリングしたのが上図になります。

Mailoneyは一切なく、すべてhoneytrapで攻撃を受信していますね。しかも1日だけで大量に受けているのが分かります。この日に、POP3に関する攻撃を受けたと考えられますが、何の攻撃だったんでしょうか。

f:id:tk-secu:20180807235451p:plain

ちなみに、国別でみると、この攻撃はすべて台湾から来ていました。

台湾が1位にランクインしたのは、Port:110に対する35万件弱の攻撃が、すべて1か所から行われていたためでしょう。

IPSでは、ブルートフォース攻撃として検知していますね。

他には、8位のPort:5060も、先月は866件しか攻撃がなかったにも関わらず、7月は7,000件弱と8倍程度の増加となっています。

7月は、台湾からPort:110に対する攻撃が35万件弱と、かなり異常な件数として表れています。

そのため、すべての表で異常値（honeytrapの件数、台湾からの攻撃件数、Port:110への攻撃件数）が発生しているように見えます。

Port:110に対する攻撃の正体を調べてみたいところですね。

サイバーセキュリティはじめました