【ハニーポットの検証】ハニーポット設置212日目 ~7月の攻撃の傾向は?~
ユーザID、パスワードの試行回数は、6月から7月にかけて大きく増加していましたが、実際の攻撃件数はどうなのでしょうか。
7月の攻撃の動向
ハニーポット毎の攻撃回数
予想通り、7月の攻撃件数は6月よりも増加して170万件超となっています。
6月に急増した「Glastpf」については、半減していますね。ただ、途中からGlastpfを停止し、WOWHoneypotに変更していますので、この数値が正しいかどうかは微妙なところです。
また、7月はhoneytrapが非常に多いですね。ここは要注意かもしれません。
「Mailoney」は、メールアドレスを拡散した影響で増加したと思われます。しかし、たった10個程度のアドレスを拡散(1アドレスにつき1サイトのみに登録)しただけで、5倍近くにも増加するというのはすごいですね。
国別の攻撃回数 TOP10
今回、大きな番狂わせがありました。
なんと、これまで10位圏内に入っていなかった台湾が、一気に増加して1位となっています。
2位は中国で、6月と比較すると4倍近くも増加していますね。一方、ベトナム、ロシアからの攻撃は低下しています。
ほかにも、ブルガリアやアルゼンチンなど、これまであまり出てこなかった国名が登場していますね。
ポート毎の攻撃回数
Port別でも大きな番狂わせが生じています。
先月、TOP30に入っていなかったPort:110が、7月は1位に入っています。Port:110は、POP3のポートですので、Mailoneyのメール拡散が影響している可能性が考えられますね。仮説が正しいかどうか見てみましょう。
Port:110でフィルタリングしたのが上図になります。
Mailoneyは一切なく、すべてhoneytrapで攻撃を受信していますね。しかも1日だけで大量に受けているのが分かります。この日に、POP3に関する攻撃を受けたと考えられますが、何の攻撃だったんでしょうか。
ちなみに、国別でみると、この攻撃はすべて台湾から来ていました。
台湾が1位にランクインしたのは、Port:110に対する35万件弱の攻撃が、すべて1か所から行われていたためでしょう。
IPSでは、ブルートフォース攻撃として検知していますね。
他には、8位のPort:5060も、先月は866件しか攻撃がなかったにも関わらず、7月は7,000件弱と8倍程度の増加となっています。
まとめ
7月は、台湾からPort:110に対する攻撃が35万件弱と、かなり異常な件数として表れています。
そのため、すべての表で異常値(honeytrapの件数、台湾からの攻撃件数、Port:110への攻撃件数)が発生しているように見えます。
Port:110に対する攻撃の正体を調べてみたいところですね。