tag:blogger.com,1999:blog-41518328756459017422024-02-20T17:52:19.749+09:00アルテア・セキュリティ・コンサルティング 公式ブログFUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.comBlogger145125tag:blogger.com,1999:blog-4151832875645901742.post-78885967937411000492020-01-25T14:28:00.002+09:002020-01-25T14:28:51.438+09:00システム改造中スキャン観測のシステムを現在、改造しています。改造が完了したらまたレポートを再開する予定です。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-62889401709513042702020-01-13T23:16:00.000+09:002020-01-13T23:16:15.361+09:00ポートスキャン概況(2020年1月13日)本日の概況です。夜になってから、中国、韓国IPを発信元とする123/udpのパケット増加を観測しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnp37EM8eShXn69M8uB6NJQp_s2D06E1n9jreUlbct8ukxj46qaKrsNf_tiPxwO_IkOqQu0K6iG8BVN6kbwPQjB0TR4OAnxdx_q6KjvY-jPm2gtbPGj84SFgENBTMo7gCB3XvBa-h2uOw/s1600/overview-01-13-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnp37EM8eShXn69M8uB6NJQp_s2D06E1n9jreUlbct8ukxj46qaKrsNf_tiPxwO_IkOqQu0K6iG8BVN6kbwPQjB0TR4OAnxdx_q6KjvY-jPm2gtbPGj84SFgENBTMo7gCB3XvBa-h2uOw/s400/overview-01-13-22.jpg" width="400" /></a><br />
<br />
中国発では20時台に1時間あたり200から300パケット程度を観測しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1goehJLBkyt8j_Cm8o10lzsTYb1uJOILP4mr4RNG-ZgcITGW9wPuNAUpSJKHwYSPguhr-IElxkgtYoaYM0P6WQwN3My7KPWR3eFXv0guZTSyWcHfruZdKlkSyXPz8-e89qHiI86NX9lA/s1600/CN-01-13-22.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1goehJLBkyt8j_Cm8o10lzsTYb1uJOILP4mr4RNG-ZgcITGW9wPuNAUpSJKHwYSPguhr-IElxkgtYoaYM0P6WQwN3My7KPWR3eFXv0guZTSyWcHfruZdKlkSyXPz8-e89qHiI86NX9lA/s400/CN-01-13-22.jpg" width="400" /></a><br />
<br />
韓国発では、昨日の増加が一段落した後も、相対的に活発な状態が続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjxhWIXFGbWr1uIR9K-8pNQ0aUbPi1fL2znCLuJ-T-7NMMkS7U_vAbn8EN7VFaNY8DN42HGFf0oKY9iehe9BvTuy521DbGe9hXzgFKaV5JCOaz33rY9zLl8dR0fJ8ltqgl-HFuC8HE5lKg/s1600/KR-01-13-22.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjxhWIXFGbWr1uIR9K-8pNQ0aUbPi1fL2znCLuJ-T-7NMMkS7U_vAbn8EN7VFaNY8DN42HGFf0oKY9iehe9BvTuy521DbGe9hXzgFKaV5JCOaz33rY9zLl8dR0fJ8ltqgl-HFuC8HE5lKg/s400/KR-01-13-22.jpg" width="400" /></a><br />
<br />
ここ数日、オランダ(NL)を発信元とする広範囲のポートへのスキャン活動が活発化しています。11日の早朝から昼過ぎにかけてピークが有り、12日も昼頃に大きなピークがありました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOEowxiR-mbum-NTi7ItM1QDnWyUdhtd0RJDtmBn0TorSccVRIS-HNl2K4v0qQHRoKwa8zX0rzRwMH0Ma3589ZBa0lZ5kbqFRJFA5b6IHI0AoBP65L0eiylFgJU9pU9OLaT98aLkcPgqs/s1600/NL-01-13-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOEowxiR-mbum-NTi7ItM1QDnWyUdhtd0RJDtmBn0TorSccVRIS-HNl2K4v0qQHRoKwa8zX0rzRwMH0Ma3589ZBa0lZ5kbqFRJFA5b6IHI0AoBP65L0eiylFgJU9pU9OLaT98aLkcPgqs/s400/NL-01-13-22.jpg" width="400" /></a><br />
<br />
なんらかの意図的なスキャン活動とみられます。<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-45013938020414489492020-01-12T14:05:00.002+09:002020-01-12T14:05:22.051+09:00ポートスキャン概況(2020年1月12日)PM年末年始から今日まで、あれこれ多忙でレポートをサボってしまいました。極端な変化は観測されていませんが、23/tcpなどでは引き続き、一時的な活性化が米国を中心に発生しています。(レポート間隔が長くなっているので、ポート別スキャン傾向の表示範囲を過去3日間から5日間に広げました)<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzirVvEQEH8pqy8LvBRKMcaRGyGrx9AP5EfjtJDPkdmeUTQwZMepnEADeifDhVQsciKd0jQveuM-0gQHhc5AlKfl2D71tBKh5K7BZh2S98r6dqGV-mLdZrjYLHJVG8iiHpbmKOGomKiVk/s1600/overview-01-12-13.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzirVvEQEH8pqy8LvBRKMcaRGyGrx9AP5EfjtJDPkdmeUTQwZMepnEADeifDhVQsciKd0jQveuM-0gQHhc5AlKfl2D71tBKh5K7BZh2S98r6dqGV-mLdZrjYLHJVG8iiHpbmKOGomKiVk/s400/overview-01-12-13.jpg" width="400" /></a><br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBV6FxPF0wu9YW6_uEx_SCs9ZE2odK3PjSC_7Q8vkZ_rUL6vsHf48uxIZzedqQwTLIuWkEvp1yAa3o9Q3mL9wtwbf10HzMC8MzKoJdJmhnbZRf2IafU5mxVKIClX4TQF_THrpA-5-FHis/s1600/23-tcp-01-12-13.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBV6FxPF0wu9YW6_uEx_SCs9ZE2odK3PjSC_7Q8vkZ_rUL6vsHf48uxIZzedqQwTLIuWkEvp1yAa3o9Q3mL9wtwbf10HzMC8MzKoJdJmhnbZRf2IafU5mxVKIClX4TQF_THrpA-5-FHis/s400/23-tcp-01-12-13.jpg" width="400" /></a><br />
<br />
1433/tcp(MS-SQL-Server)ポートのスキャンは引き続き中国を中心に活発です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgc6ZMI2mkIVvcUC-dklFPLGaH5r5yXBxx3bQ-WwtGW_Lo8yOmMOIgKkRUDi2agcuDM2CcSSr-ezfnVwo7TlnZmCV9ozI9esXWRG9NOljYoJejuuoQc-KzoAKN7oLC9fnuXq8KeDAWN3ng/s1600/1433-tcp-01-12-13.jpg" imageanchor="1"><img border="0" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgc6ZMI2mkIVvcUC-dklFPLGaH5r5yXBxx3bQ-WwtGW_Lo8yOmMOIgKkRUDi2agcuDM2CcSSr-ezfnVwo7TlnZmCV9ozI9esXWRG9NOljYoJejuuoQc-KzoAKN7oLC9fnuXq8KeDAWN3ng/s400/1433-tcp-01-12-13.jpg" width="400" /></a><br />
<br />
中国発では、10日に短時間で広範囲のポートのスキャンを観測しています。意識的なスキャン活動の可能性があります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfVDcieIAFNRddJLnHNeBf513ydfTqsWGGA6SzlkxUgpc2FWlYfVqP9XmsufiZBO31YIQWelJo_hW4NXBwJuiokqMzto1dPeY27hyKdBOnO42V6kv3yPMzDSfDIOXVqLHWq9jGp8gO0mM/s1600/CN-01-12-13.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhfVDcieIAFNRddJLnHNeBf513ydfTqsWGGA6SzlkxUgpc2FWlYfVqP9XmsufiZBO31YIQWelJo_hW4NXBwJuiokqMzto1dPeY27hyKdBOnO42V6kv3yPMzDSfDIOXVqLHWq9jGp8gO0mM/s400/CN-01-12-13.jpg" width="400" /></a><br />
<br />
台湾発では10日頃に23/tcpの活性化が見られました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhGoGOucE2rhUY0rXM7gThFy-Oo5BsmQqO7qrFygY3tHTNSjfnKt1DevX63yNSZaVhlb8FALxD6U8-p0g1hiORGInSN3MDtyWR2UwQ99cv-qDSbwsN4Z0U4hKHn_-n2DyIULBCCq8jv-S0/s1600/TW-01-12-13.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhGoGOucE2rhUY0rXM7gThFy-Oo5BsmQqO7qrFygY3tHTNSjfnKt1DevX63yNSZaVhlb8FALxD6U8-p0g1hiORGInSN3MDtyWR2UwQ99cv-qDSbwsN4Z0U4hKHn_-n2DyIULBCCq8jv-S0/s400/TW-01-12-13.jpg" width="400" /></a><br />
<br />
韓国IP発では123/udp(NTP)の活動が活発化しています。(UDPであるため、DoS等で発信元が詐称されている可能性や、リフレクションの可能性がありますが、確認できていません)<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjL4RiHwtkBWN3lOJ9BJFEI6xDcIMc0icr-Obye1BNu4VFFI1cZ2Ln_Z9_829rkihSZWlxrUKD6UGCF1zvOjKMZUNqj9PNnqgalgL16Y0WTj2myme70trAj6-d7sABNUdjumYsx9VU7nA0/s1600/KR-01-12-13.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjL4RiHwtkBWN3lOJ9BJFEI6xDcIMc0icr-Obye1BNu4VFFI1cZ2Ln_Z9_829rkihSZWlxrUKD6UGCF1zvOjKMZUNqj9PNnqgalgL16Y0WTj2myme70trAj6-d7sABNUdjumYsx9VU7nA0/s400/KR-01-12-13.jpg" width="400" /></a><br />
<br />
ブラジル発では10日に445/tcp、引き続き139/tcpのスキャンが活性化しています。マルウエア関連の活動の可能性があります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhe9D-uucdcsZ07FdRXcFwBplYd73YXoqbOPy_jA7aC0e_W44jqHarIcu0qlK41nMEdkCnD6hK7mwJq8umUAmqvqeH32CASARy1_NO_pWRTvYL0Vg2g5dWZarotv0lgk8b2oRFstDExgow/s1600/BR-01-12-13.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhe9D-uucdcsZ07FdRXcFwBplYd73YXoqbOPy_jA7aC0e_W44jqHarIcu0qlK41nMEdkCnD6hK7mwJq8umUAmqvqeH32CASARy1_NO_pWRTvYL0Vg2g5dWZarotv0lgk8b2oRFstDExgow/s400/BR-01-12-13.jpg" width="400" /></a><br />
<br />
今年は大きなイベントがある年でもあり、引き続きこうした観測は続けていくつもりですが、本業(笑)多忙の折は間隔が空くこともありますのでご容赦ください。<br />
<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-25962963904024457342019-12-27T23:09:00.001+09:002019-12-27T23:09:27.176+09:00ポートスキャン概況(2019年12月27日)年末のドタバタやあれこれでレポートをサボってしまいました。昨日から韓国割り当てのIPを発信元とした123/udp(NTP)の大量着信を観測しています。また、1433/tcp(MS SQL Server)の活動は中国を中心に活発な状態が続いています。また、エジプト発の80/tcpの活動が増加しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_BiP3B4cFrQEwGSSHsaUW9yOwp2T1_x8lZoFsrqkf2lxzCC0uOPTDOGO4XTzkFGMnndNR-EIdbKCvTPM259mjRLljyeQuh5x0S58RLVxetAsZP6SizFGocxfBgEPE-YfxOum0l0v2k94/s1600/overview-12-27-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj_BiP3B4cFrQEwGSSHsaUW9yOwp2T1_x8lZoFsrqkf2lxzCC0uOPTDOGO4XTzkFGMnndNR-EIdbKCvTPM259mjRLljyeQuh5x0S58RLVxetAsZP6SizFGocxfBgEPE-YfxOum0l0v2k94/s400/overview-12-27-22.jpg" width="400" /></a><br />
<br />
韓国IP発の123/udpは韓国を対象としたDDoS攻撃のリフレクションである可能性も考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYRQ8Zs0BgWPyZXl1-Y-8TulyUXukDwYjE-kKqo9iLhnPuKmHos6fE775GLhYL1CRnFrOkWf3CBftjyvAsNfSwdiwf4NlTLW3cwvJ8_bCjToHhOTOvOwrioddtRcS5zgYzv0mkN4eqIYA/s1600/KR-12-27-22.jpg" imageanchor="1"><img border="0" height="227" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYRQ8Zs0BgWPyZXl1-Y-8TulyUXukDwYjE-kKqo9iLhnPuKmHos6fE775GLhYL1CRnFrOkWf3CBftjyvAsNfSwdiwf4NlTLW3cwvJ8_bCjToHhOTOvOwrioddtRcS5zgYzv0mkN4eqIYA/s400/KR-12-27-22.jpg" width="400" /></a><br />
<br />
1433/tcpについては、中国に加えインド発でも活発化がみられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirTf8oBkso2CALIU3ly-gRxxJC70Ic2LVseveWaySyfXxRnuxcKEkhzQM_jPpniCa2g92VzYLOxqmmVBNzhyGVrRGWUDWLpA4rzZZhg87QPXRm-Wz5F0z-y5kq5paMTechu9s34rcm04Q/s1600/CN-12-27-22.jpg" imageanchor="1"><img border="0" height="227" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEirTf8oBkso2CALIU3ly-gRxxJC70Ic2LVseveWaySyfXxRnuxcKEkhzQM_jPpniCa2g92VzYLOxqmmVBNzhyGVrRGWUDWLpA4rzZZhg87QPXRm-Wz5F0z-y5kq5paMTechu9s34rcm04Q/s400/CN-12-27-22.jpg" width="400" /></a><br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuOnSt3KLXlgBdNdnN_NhqUDsrKnDnUQ2csS3pJrXt4JnD4gHN2PmkC5_5gPSBwfQvx3AktHV4A08AtGsY9SGyBWhlvfD9kx1aYi4LFBMyKk3WJYEt2LrObVxUYvBV1crGo1DKo3CaRTo/s1600/IN-12-27-22.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiuOnSt3KLXlgBdNdnN_NhqUDsrKnDnUQ2csS3pJrXt4JnD4gHN2PmkC5_5gPSBwfQvx3AktHV4A08AtGsY9SGyBWhlvfD9kx1aYi4LFBMyKk3WJYEt2LrObVxUYvBV1crGo1DKo3CaRTo/s400/IN-12-27-22.jpg" width="400" /></a><br />
<br />
米国発では、このところ広範囲のポートへのスキャンが活発化しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1MY9u5PP11hY5DylqACSR_-8_IKeAnjDqvAeJCqW-TcilIv1Zmwxv-pjfqXHgQl31KcVrpxpCUeCacWdlHSIcCX4SJDQQmP5gGJibiNriR1oEhdYQDWx56x9_Olt_kD6FhAkpFhnOW0c/s1600/US-12-27-22.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1MY9u5PP11hY5DylqACSR_-8_IKeAnjDqvAeJCqW-TcilIv1Zmwxv-pjfqXHgQl31KcVrpxpCUeCacWdlHSIcCX4SJDQQmP5gGJibiNriR1oEhdYQDWx56x9_Olt_kD6FhAkpFhnOW0c/s400/US-12-27-22.jpg" width="400" /></a><br />
<br />
以上、概況でした。<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-27260756725286542912019-12-19T00:40:00.002+09:002019-12-19T00:40:18.189+09:00ポートスキャン概況(2019年12月18日)今日は午後4時から5時台にかけて、123/udpの大量着信を観測しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOU5a09PUcshOn2q77p94VHLTsn5WOSbuZmEVbtivlFhakWihpeDxrPGRZy0rqlhShagzNO_QyYZziqb3jS6DaaqmsGG_vXSvQecA3oNrJnGhtUExFVV-pFygqmN1y9YwY3SNxPWdg1K0/s1600/overview-12-18-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiOU5a09PUcshOn2q77p94VHLTsn5WOSbuZmEVbtivlFhakWihpeDxrPGRZy0rqlhShagzNO_QyYZziqb3jS6DaaqmsGG_vXSvQecA3oNrJnGhtUExFVV-pFygqmN1y9YwY3SNxPWdg1K0/s400/overview-12-18-23.jpg" width="400" /></a><br />
<br />
ソースIPは韓国割り当てのもので、韓国経由のAmp攻撃もしくは、韓国のIPをターゲットにした攻撃の可能性があります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOXH4zphKHa_xD0uLaodm3NMyilqkhA65yXxg5yMq3kxFO5XK2mBmo4uJc71bHgYz7lFoCYD964aGHvIke2-F7wFyddPP4CHNQE4CC3LHZnY1DtywYq4548vS6RHOFfgeNmiCSys9iXZw/s1600/KR-12-18-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgOXH4zphKHa_xD0uLaodm3NMyilqkhA65yXxg5yMq3kxFO5XK2mBmo4uJc71bHgYz7lFoCYD964aGHvIke2-F7wFyddPP4CHNQE4CC3LHZnY1DtywYq4548vS6RHOFfgeNmiCSys9iXZw/s400/KR-12-18-23.jpg" width="400" /></a><br />
<br />
国別では、エストニア(EE)発で広範囲のポートスキャンの一時的な活発化を観測しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8sXOYc-eiKdqehb61FL6UecogVTod36sOsP0CALo5bJHCNK0Rmcr5yme4Xp6FsssT77lMLm78JH65hZP98iowLZEhxjFieO_ysrF5JfNzqIhavFV-t987D5NTbflX-kgefFxOTbpjgmE/s1600/EE-12-18-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj8sXOYc-eiKdqehb61FL6UecogVTod36sOsP0CALo5bJHCNK0Rmcr5yme4Xp6FsssT77lMLm78JH65hZP98iowLZEhxjFieO_ysrF5JfNzqIhavFV-t987D5NTbflX-kgefFxOTbpjgmE/s400/EE-12-18-23.jpg" width="400" /></a><br />
<br />
インドネシア発では、445/tcpの活動が昼の時間帯に活性化しているように見えます。昼間に稼働しているPC等のマルウエア感染によるものの可能性が考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgs8iVBAsY9mkb1mbb_GKc65ryqfV4aZC4AKGKDfgCCQwxwbhLTEyzczL6f2L7OQQpPHK0HvtYL-jsnotR5LgO5zt5xpF28WFcxpUJ0mkXP99EKwFE0hSz30FhUYk7KoQwZ5MOEb1aX0Lo/s1600/ID-12-18-23.jpg" imageanchor="1"><img border="0" height="222" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgs8iVBAsY9mkb1mbb_GKc65ryqfV4aZC4AKGKDfgCCQwxwbhLTEyzczL6f2L7OQQpPHK0HvtYL-jsnotR5LgO5zt5xpF28WFcxpUJ0mkXP99EKwFE0hSz30FhUYk7KoQwZ5MOEb1aX0Lo/s400/ID-12-18-23.jpg" width="400" /></a><br />
<br />
ロシア発では、広範囲のポートへのスキャンが恒常的に発生していますが、本日未明から朝にかけて活発化が見られました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWB08J-O1VW0ndiq7NaPv15ZCdYJjzaqnzuGw-_MpEjglwjdV_eB-jC_6eNFm5bFOsl4YGY2uqFXzQpggxSvXCoqsRX-u6qGvknLDudTVBgiAXiWKEIlYbcQhgLsLV-sq_uIB9QQP-TTk/s1600/RU-12-18-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWB08J-O1VW0ndiq7NaPv15ZCdYJjzaqnzuGw-_MpEjglwjdV_eB-jC_6eNFm5bFOsl4YGY2uqFXzQpggxSvXCoqsRX-u6qGvknLDudTVBgiAXiWKEIlYbcQhgLsLV-sq_uIB9QQP-TTk/s400/RU-12-18-23.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。<br />
<br />
<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-50621822984936968562019-12-17T21:46:00.003+09:002019-12-17T21:46:40.695+09:00ポートスキャン概況(2019年12月17日)本日も引き続き、23/tcp、1433/tcp、445/tcpの活動が活発でした。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiR54TwXvOFNPX_85DPcwFExC2ys_DYP2wR7a_OOtFNICeNpHr1mkiiXIVz54ArXAnE9e16oXwL2hw2X7gqqWZ5smGvYawVYlP0kjRr1ZpKVfKArol5DW8EKTAxROIlPTgmUuC0ZIgYo5I/s1600/overview-12-17-21.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiR54TwXvOFNPX_85DPcwFExC2ys_DYP2wR7a_OOtFNICeNpHr1mkiiXIVz54ArXAnE9e16oXwL2hw2X7gqqWZ5smGvYawVYlP0kjRr1ZpKVfKArol5DW8EKTAxROIlPTgmUuC0ZIgYo5I/s400/overview-12-17-21.jpg" width="400" /></a><br />
<br />
23/tcpでは、オランダ、台湾、中国、カナダなどで一時的な活発化が見られました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVpSRQEgMDQR4PXVp1ujcCcviQx7IqIRf44z-GLbd8kLu7EYvjEUBe2ZguLFjLwKIOYK1OoHkc1Pu2XU8nlw_RSKt9d_YVrk74xSUd2FMq4KuoKxlKx-wjPRVMam1Re5_MZKAj5btJkrM/s1600/23-tcp-12-17-21.jpg" imageanchor="1"><img border="0" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhVpSRQEgMDQR4PXVp1ujcCcviQx7IqIRf44z-GLbd8kLu7EYvjEUBe2ZguLFjLwKIOYK1OoHkc1Pu2XU8nlw_RSKt9d_YVrk74xSUd2FMq4KuoKxlKx-wjPRVMam1Re5_MZKAj5btJkrM/s400/23-tcp-12-17-21.jpg" width="400" /></a><br />
<br />
日本発のスキャンでは、65229/tcpと3389/tcpの一時的な増加を観測しています。いずれもマルウエア感染等による活動が疑われます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsvjejY2s87vYSTmqsVGNhJaqDhLMtxx4mYcMjjZKlYAyzbP2-HOcn-v4urLr6b1CCCmab34pDMhHi1xTC1gSQOrKi9xnBovVQJWyl8y2IEvXnogkVEyxNzcJQcLM3iDQeduk7pAscJO0/s1600/JP-12-17-21.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsvjejY2s87vYSTmqsVGNhJaqDhLMtxx4mYcMjjZKlYAyzbP2-HOcn-v4urLr6b1CCCmab34pDMhHi1xTC1gSQOrKi9xnBovVQJWyl8y2IEvXnogkVEyxNzcJQcLM3iDQeduk7pAscJO0/s400/JP-12-17-21.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-1015774820074003802019-12-16T23:53:00.002+09:002019-12-16T23:53:55.246+09:00ポートスキャン概況(2019年12月16日)年末の多忙にかまけてレポートをしばらくサボってしまいました。このところの状況としては、23/tcp, 1433/tcp, 445/tcpが相対的に活発です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhd5v_TEolai-5NOHPBY58qFBVHjxxuL87NZ7yllsqelr5gXxIlD3IyMnJ2rBedRyWRQQ8_ObypWFbbfZlDufMy_7LSADtekmWG95mBK17z4WV2GHal9Y-MPPqpOVya3adqgjr-vq1Arak/s1600/overview-12-16-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhd5v_TEolai-5NOHPBY58qFBVHjxxuL87NZ7yllsqelr5gXxIlD3IyMnJ2rBedRyWRQQ8_ObypWFbbfZlDufMy_7LSADtekmWG95mBK17z4WV2GHal9Y-MPPqpOVya3adqgjr-vq1Arak/s400/overview-12-16-23.jpg" width="400" /></a><br />
<br />
23/tcpでは、従来から活発な米国、中国などに加えて、ブラジルでも数は相対的に少ないですが、コンスタントな活動が観測されています。また、オランダで昨日、一時的に活発化したのに加え、今日は早朝から午前中にかけて、タンザニア(TZ)発のスキャンの活発化を観測しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjlRBcWJvT8BwjxuW19WXidTOzuTVxrV3Xfaow9mZhATwEbTJcPMVsiAf994081Yle9cYX326qL3AG3mT78uUEdEohu0VYafV82Ryw3GJoAQLyRnYbtvI3a7tbqFE6egte8byJJWqPmods/s1600/23-tcp-12-16-23.jpg" imageanchor="1"><img border="0" height="116" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjlRBcWJvT8BwjxuW19WXidTOzuTVxrV3Xfaow9mZhATwEbTJcPMVsiAf994081Yle9cYX326qL3AG3mT78uUEdEohu0VYafV82Ryw3GJoAQLyRnYbtvI3a7tbqFE6egte8byJJWqPmods/s400/23-tcp-12-16-23.jpg" width="400" /></a><br />
<br />
国別では、インドで23/tcp、139/tcp、445/tcp、1433/tcpなどが散発的に活発化しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEQqaeQOhIi-FWz5SOtGQgr1CGkWg21ijdpInA8GRHBvuZiB9nlYbbQrq4SaI7QUVg13uEUtL6DbUprHJ2yoyuob5XI0CBmOpb7UILdESxQTe3CJIO39sxXQprtpguA3-xnU3hD_c8b-k/s1600/IN-12-16-23.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiEQqaeQOhIi-FWz5SOtGQgr1CGkWg21ijdpInA8GRHBvuZiB9nlYbbQrq4SaI7QUVg13uEUtL6DbUprHJ2yoyuob5XI0CBmOpb7UILdESxQTe3CJIO39sxXQprtpguA3-xnU3hD_c8b-k/s400/IN-12-16-23.jpg" width="400" /></a><br />
<br />
日本発の活動は相対的に少ないですが、23/tcpの活動が僅かながら継続しているほか、22/tcp、445/tcp、1433/tcpなどの活動も時折活発化します。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiKryZTRuMxrFPJjMTOYWh4a8bfB-OrhVHiWL_bu85KC0kthyphenhyphenH5h9gTm2yAh0vkjoLhG5NOKvSS6b9AMg_RO-t8aooQFfQEBpV0J2apZ3KvsaUgO4W7uz9ue3sVjmy8M5Phlt5zMchPQwU/s1600/JP-12-16-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiKryZTRuMxrFPJjMTOYWh4a8bfB-OrhVHiWL_bu85KC0kthyphenhyphenH5h9gTm2yAh0vkjoLhG5NOKvSS6b9AMg_RO-t8aooQFfQEBpV0J2apZ3KvsaUgO4W7uz9ue3sVjmy8M5Phlt5zMchPQwU/s400/JP-12-16-23.jpg" width="400" /></a><br />
<br />
とりわけ1433/tcpのスキャンは以前より頻繁に観測されるようになっており、世界的な活性化とも関連してちょっと気になります。<br />
<br />
今月は本業?でバタバタしているため、レポートの頻度が下がってしまいますが、特筆すべき状況についてはできるだけレポートしたいと考えています。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-4570234851889877762019-12-06T00:02:00.001+09:002019-12-06T00:02:14.227+09:00ポートスキャン概況(2019年12月5日)本日の概況です。お昼から午後にかけて、中国IPを発信元とする123/udp(ntp)パケットの増加を観測しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsuluLIOM9onWcLRlziJKrAnlAJnlxGnqt4RfO4Q1V4v5dbH2Vty7AITf_Ty3IeLRaHJ3gnNWzPzT6afp2_QUv8T_8aSBcd7yW5w3bKqTwSPA8BR9sErY9WN6hj4cDBCmgeNvOFEie-Qc/s1600/overview-12-05-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsuluLIOM9onWcLRlziJKrAnlAJnlxGnqt4RfO4Q1V4v5dbH2Vty7AITf_Ty3IeLRaHJ3gnNWzPzT6afp2_QUv8T_8aSBcd7yW5w3bKqTwSPA8BR9sErY9WN6hj4cDBCmgeNvOFEie-Qc/s400/overview-12-05-23.jpg" width="400" /></a><br />
<br />
これは、中国のIPアドレスをターゲットとしたDoS(Amp)攻撃の試行とも考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYW-4Guqo0PqkxwdVepVbXBGn0Rcbnin2uP0wUPsFrKdpaBbuH3vk9VHIjakKIQjHCaSyKbbbSP7v6yJOBHkTvUVwKg27p5gcctidp_P4eAVAxyVMnJ-SOqZCtqsQiA4XY4sG3_8w1S1Y/s1600/CN-12-05-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiYW-4Guqo0PqkxwdVepVbXBGn0Rcbnin2uP0wUPsFrKdpaBbuH3vk9VHIjakKIQjHCaSyKbbbSP7v6yJOBHkTvUVwKg27p5gcctidp_P4eAVAxyVMnJ-SOqZCtqsQiA4XY4sG3_8w1S1Y/s400/CN-12-05-23.jpg" width="400" /></a><br />
<br />
米国とブラジル発では、23/tcpが一時的に活発化しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsnabr6RG_nlaSZ_6wT7dJtyScT3UaRbC7CuY3qhgzStlMvWs57PTT0N-oHR7neGfAX6nJAKn1zS4HEN6g3f0HBqe6YtaAG8Cx_LSdjJkADLaG0JJVKOAhbAVCj_FAQzOHhJWTfUShBLk/s1600/US-12-05-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgsnabr6RG_nlaSZ_6wT7dJtyScT3UaRbC7CuY3qhgzStlMvWs57PTT0N-oHR7neGfAX6nJAKn1zS4HEN6g3f0HBqe6YtaAG8Cx_LSdjJkADLaG0JJVKOAhbAVCj_FAQzOHhJWTfUShBLk/s400/US-12-05-23.jpg" width="400" /></a><br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQD8GKvHUgDbGoRA4QBKzv8M5P8Mu9qVED-w0X57wgIRewNZxY3pG0MXrn9NtdA-vJqYczcm2BWIfe__acHGyzWQzQ91Kx0IrfBmgXybD6QkBr5XuA5M6Fb72fG2k69j547A9x_2ouUZI/s1600/BR-12-05-23.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhQD8GKvHUgDbGoRA4QBKzv8M5P8Mu9qVED-w0X57wgIRewNZxY3pG0MXrn9NtdA-vJqYczcm2BWIfe__acHGyzWQzQ91Kx0IrfBmgXybD6QkBr5XuA5M6Fb72fG2k69j547A9x_2ouUZI/s400/BR-12-05-23.jpg" width="400" /></a><br />
<br />
ブラジル発では、引き続き26/tcpの活動も活発です。ロシア発では、未明から午前中にかけて広範囲のポートへのスキャン活動が活発化しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3rFd7c0ga-B0rFHXCGxdGS0MmNz0qWsLkvxR-6vescisosuGDdW4Ra0khGpMr8Mqa-7k-ZDEK-PuqhNcWXwn5SPxJyrn2irONXLxLqNLCSyh_ZtoyDGJGycQ_9vkwROkY2RBzzRvAjOI/s1600/RU-12-05-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg3rFd7c0ga-B0rFHXCGxdGS0MmNz0qWsLkvxR-6vescisosuGDdW4Ra0khGpMr8Mqa-7k-ZDEK-PuqhNcWXwn5SPxJyrn2irONXLxLqNLCSyh_ZtoyDGJGycQ_9vkwROkY2RBzzRvAjOI/s400/RU-12-05-23.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-81351741915360666772019-12-05T01:07:00.002+09:002019-12-05T01:07:42.999+09:00ポートスキャン概況(2019年12月4日)本日の概況です。<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj5msBwyr0zwuY2B-S6bRSHuG56FjMBa3NPjdsyhdkv29RSDBaL4-AXFiCwAT4h7AaJZmWTOHdtIolwbgkOxLRJB_yjPGazhdkyu4kah99gDPiV9eUnYnOrca6e9B6iKhZNQn6OWSEp3os/s1600/overview-12-04-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj5msBwyr0zwuY2B-S6bRSHuG56FjMBa3NPjdsyhdkv29RSDBaL4-AXFiCwAT4h7AaJZmWTOHdtIolwbgkOxLRJB_yjPGazhdkyu4kah99gDPiV9eUnYnOrca6e9B6iKhZNQn6OWSEp3os/s400/overview-12-04-23.jpg" width="400" /></a><br />
<br />
23/tcpは未明から朝にかけて、中国発で活発でした。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiE535yU8UXtenF-l-TL4bu6ZIBvRXsDP6sCeI5F42XqTMxKe1JqAfnmBV25cT3kERcxqn4GcZ8LLNnHipa2HEsp2lMZWM5vVg1NkOnw4CfaLNrX_FUPFIe5Pwy_eWgFcc0s0W18YTbPCE/s1600/23-tcp-12-04-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiE535yU8UXtenF-l-TL4bu6ZIBvRXsDP6sCeI5F42XqTMxKe1JqAfnmBV25cT3kERcxqn4GcZ8LLNnHipa2HEsp2lMZWM5vVg1NkOnw4CfaLNrX_FUPFIe5Pwy_eWgFcc0s0W18YTbPCE/s400/23-tcp-12-04-23.jpg" width="400" /></a><br />
<br />
1433/tcpの活動は引き続き中国発を中心に、広い地域で活発な状態が続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt8wKAf6TKues1I4ToR7QLYJSvgKDzKeKt-a20RvJ1MjQSnRErzhQl72XJ7lbZTsPyz3e-NTF6m5h5_HbQEliDZc1CxVcHtl1MZucFcW2xfbAPIRyiFwJIacWjWAwA3MJKbph_yFijXBw/s1600/1433-tcp-12-04-23.jpg" imageanchor="1"><img border="0" height="111" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjt8wKAf6TKues1I4ToR7QLYJSvgKDzKeKt-a20RvJ1MjQSnRErzhQl72XJ7lbZTsPyz3e-NTF6m5h5_HbQEliDZc1CxVcHtl1MZucFcW2xfbAPIRyiFwJIacWjWAwA3MJKbph_yFijXBw/s400/1433-tcp-12-04-23.jpg" width="400" /></a><br />
<br />
国別では、ブラジルで引き続き26/tcpの活動が活発です。この国では23/tcpと同じくらいのレベルにあります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinSCrpc1hFR2ZfbWFb6_F1U40-EakFVB6Ot-jirESoFzHh2-IPE-9KQ05te8rkgvLCVse1Ue5scsfpqAez0OO6RhaYFI3BkHvfhtJ_KcJIyN7mI_cLLSGbFBYVpa9EfYFLOB9xnfVhf0M/s1600/BR-12-04-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinSCrpc1hFR2ZfbWFb6_F1U40-EakFVB6Ot-jirESoFzHh2-IPE-9KQ05te8rkgvLCVse1Ue5scsfpqAez0OO6RhaYFI3BkHvfhtJ_KcJIyN7mI_cLLSGbFBYVpa9EfYFLOB9xnfVhf0M/s400/BR-12-04-23.jpg" width="400" /></a><br />
<br />
日本発では、お昼頃から午後にかけて、445/tcpや1433/tcpの活動が相対的に活発化しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjq-8husnENVFT5Z-Vl6OutnJRHeBuKgQnxrZrT-CTi4ib07cnxl6LXvz-MmFGNrSvMAc4inTgkV6VY6K909rVdMXVjPii2mMNyWUgtVj5TG_SkQgFU4XW37LWtfdCbL8vk_h38ZNx8wAg/s1600/JP-12-04-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjq-8husnENVFT5Z-Vl6OutnJRHeBuKgQnxrZrT-CTi4ib07cnxl6LXvz-MmFGNrSvMAc4inTgkV6VY6K909rVdMXVjPii2mMNyWUgtVj5TG_SkQgFU4XW37LWtfdCbL8vk_h38ZNx8wAg/s400/JP-12-04-23.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-41203870546921524662019-12-04T00:19:00.000+09:002019-12-04T00:19:04.693+09:00ポートスキャン概況(2019年12月3日)本日の概況です。活動の上位は常連の23/tcp、445/tcp、1433/tcp、そして26/tcpと8545/tcpが順位を上げています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjimSSLdzaqZ8-TeUt36eRzpxDCj27ZJlf248IhWeYCWLNLOghPv6RDaqTyjJXW4797VP_dN3_kffb09SIPU5-ta-nNVmDLucoHMb-ggsdeUvrDUUfjiVmNOPb4Nhr3GtQx0zHIYVkoQdc/s1600/overview-12-03-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjimSSLdzaqZ8-TeUt36eRzpxDCj27ZJlf248IhWeYCWLNLOghPv6RDaqTyjJXW4797VP_dN3_kffb09SIPU5-ta-nNVmDLucoHMb-ggsdeUvrDUUfjiVmNOPb4Nhr3GtQx0zHIYVkoQdc/s400/overview-12-03-23.jpg" width="400" /></a><br />
<br />
26/tcpのターゲットは不明ですが、最も活発なブラジル発で見ると、一部23/tcpの活動と相関があるようにも見られるので、IoT系の活動である可能性も考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieCf998UYZj7AAclTdWcLY78W3rX_BE3IJgDTqZQCaNvshabjRf4wiWZlL-n0uqq_Yw6krnBiSIP_BZjvRawFJxc3CiLpqP2NK48F1NkbRFZnEUILNRYaf6vY5nkuYHhGKzrJpVtrA72k/s1600/BR-12-03-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEieCf998UYZj7AAclTdWcLY78W3rX_BE3IJgDTqZQCaNvshabjRf4wiWZlL-n0uqq_Yw6krnBiSIP_BZjvRawFJxc3CiLpqP2NK48F1NkbRFZnEUILNRYaf6vY5nkuYHhGKzrJpVtrA72k/s400/BR-12-03-23.jpg" width="400" /></a><br />
<br />
一方、同様に順位を上げつつある8545/tcpは、仮想通貨イーサリアムで使用されているポートで、フランス発の活動が活発です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-I5Ks6bWnOg8N9B9wsBH9lqX_8qtOhyphenhyphenlOJhCbqHp9mnuOkc7nTNoMvm0E1ca5ST7bqOFVrnubyxrJH73m6XdE9_EneVhuctGrnpfb-zqMRhYQlfvBUdHtSJssVXD7iwLvl2OvK6rSdvY/s1600/FR-12-03-23.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj-I5Ks6bWnOg8N9B9wsBH9lqX_8qtOhyphenhyphenlOJhCbqHp9mnuOkc7nTNoMvm0E1ca5ST7bqOFVrnubyxrJH73m6XdE9_EneVhuctGrnpfb-zqMRhYQlfvBUdHtSJssVXD7iwLvl2OvK6rSdvY/s400/FR-12-03-23.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-71714539326211327792019-12-01T23:55:00.002+09:002019-12-01T23:55:44.344+09:00ポートスキャン概況(2019年12月1日)ちょっと多忙だったため、10日以上レポートをサボってしまいました。今年もはや12月。本日の概況です。このところの傾向として、26/tcpへのスキャンが活発化しつつあります。これが何を狙った物かは不明ですが、現在、ランキングで4位まで上がってきています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyke_IgcPBzMl5oLZp5QK1wylnPtHVMZUNq_3rexshLqHcdQQ_0Rb2SsSa5bfaJaWE17IIdY7q8uXIObYfBwx0-9AyiKO8DFwNmVkksM0DknPcAynEloJiN8kjAlKtaCdb5rGIJYmeOXc/s1600/overview-12-01-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyke_IgcPBzMl5oLZp5QK1wylnPtHVMZUNq_3rexshLqHcdQQ_0Rb2SsSa5bfaJaWE17IIdY7q8uXIObYfBwx0-9AyiKO8DFwNmVkksM0DknPcAynEloJiN8kjAlKtaCdb5rGIJYmeOXc/s400/overview-12-01-23.jpg" width="400" /></a><br />
<br />
今日は23/tcpの活動が普段より活発でした。中国発の活動が高まったほか、米国発のスキャンが大量に着信した時間帯がありました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBuVJR__epeFRG7_Q1D33b7s1w7oIK3ibgWpPIpKkJo45Yng1L6tblHLYYRGR3NPM7v9exV0SP35iGZrcwfO6QYv96IBBzIJbj7sQIeZmfzZrdnuGEygluyI_xVWCDhbv5Gx4I-Pz4iOA/s1600/23-tcp-12-01-23.jpg" imageanchor="1"><img border="0" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBuVJR__epeFRG7_Q1D33b7s1w7oIK3ibgWpPIpKkJo45Yng1L6tblHLYYRGR3NPM7v9exV0SP35iGZrcwfO6QYv96IBBzIJbj7sQIeZmfzZrdnuGEygluyI_xVWCDhbv5Gx4I-Pz4iOA/s400/23-tcp-12-01-23.jpg" width="400" /></a><br />
<br />
国別で、中国発では午前0時台に広範囲なポートへのスキャンを観測しました。意図的なスキャン活動と考えられます。また、中国でも26/tcpの活動が観測されています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqD7WhCyIwt35sSPM4dA3tvbgEImjJA_Bd67oatqkQvik1ybEYx065lvXu_xox3Wu_tM1UdElAHF1oU6PS4AbWtP5kAt0jX7kxAaxIlciSM4QKdRjLVnlVliHrcdImdIRWZnmnOSJFZMI/s1600/CN-12-01-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqD7WhCyIwt35sSPM4dA3tvbgEImjJA_Bd67oatqkQvik1ybEYx065lvXu_xox3Wu_tM1UdElAHF1oU6PS4AbWtP5kAt0jX7kxAaxIlciSM4QKdRjLVnlVliHrcdImdIRWZnmnOSJFZMI/s400/CN-12-01-23.jpg" width="400" /></a><br />
<br />
ブラジル発では、23/tcp,26/tcpの活動が活発です。当初、26/tcpの活動はブラジル中心でしたが、このところ、中国、タイで活発化しているほか、アジア各地でも活動が見られるようになっています。<br />
<br />
以上、本日の概況でした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-55202891398342143742019-11-20T00:12:00.001+09:002019-11-20T00:12:16.264+09:00ポートスキャン概況(2019年11月19日)本日の概況です。午後9時頃からロシア発で5555/tcpの急増が観測されています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBKFJWt6bcwBCYK28a_1bhvZ-oljI8ffItQpGobilqq6LUUpybIXsu83KISZ7xW2c-CxEPEKUST2nBNCdumKGCW1xsE3W5GmrzgsKi4CVae5pNpdBo81vTlqGMWO3LbWZ7HvvbDmHh9ZM/s1600/overview-11-19-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBKFJWt6bcwBCYK28a_1bhvZ-oljI8ffItQpGobilqq6LUUpybIXsu83KISZ7xW2c-CxEPEKUST2nBNCdumKGCW1xsE3W5GmrzgsKi4CVae5pNpdBo81vTlqGMWO3LbWZ7HvvbDmHh9ZM/s400/overview-11-19-23.jpg" width="400" /></a><br />
<br />
上の概要ページでは、先日の23/tcpバーストの影響で判別しにくいですが、ポート別、国別で見ると極端に増加していることがわかります。5555/tcpはAndroidのデバッグ機能であるADBのポートで、組み込み機器などでデバッグ機能が有効になってしまっているものを対象にしたスキャンと考えられますが、大量発生はこうしたボットの新種拡散が原因とも考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRIy_QTEi9PccGrp_wU_AZxI04uBlvq9iwjsZJmYzzTEBs5UKAHyRNAIjiPnCmxvUaC6AFA1gOZnkS_cLosEGC3aSyZhC-jScv6QqgGYFbF232Lsh_bxsXTaGeXj3gLBs5Tpb9oA_vZ_k/s1600/5555-tcp-11-19-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiRIy_QTEi9PccGrp_wU_AZxI04uBlvq9iwjsZJmYzzTEBs5UKAHyRNAIjiPnCmxvUaC6AFA1gOZnkS_cLosEGC3aSyZhC-jScv6QqgGYFbF232Lsh_bxsXTaGeXj3gLBs5Tpb9oA_vZ_k/s400/5555-tcp-11-19-23.jpg" width="400" /></a><br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghQ1PlJVMDpfKrfoby5m8cw2Wj6h5tNAMjZyQURIdK54SgtRoB_DvSUmCr03VZdaaWLv4wCT_89pHrBIhh-0QDnbFRXAYhmhS3V8z5AkwRyzoonbZDbaghS1xndo6J30YdQT_BhQBpdhY/s1600/RU-11-19-23.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEghQ1PlJVMDpfKrfoby5m8cw2Wj6h5tNAMjZyQURIdK54SgtRoB_DvSUmCr03VZdaaWLv4wCT_89pHrBIhh-0QDnbFRXAYhmhS3V8z5AkwRyzoonbZDbaghS1xndo6J30YdQT_BhQBpdhY/s400/RU-11-19-23.jpg" width="400" /></a><br />
<br />
米国での広範囲のポートスキャンは漸増傾向にあり、特に、IoT系ボットが狙うようなポートへのスキャンが増加しているようです。ボット活動の影響とも考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1MmQprSA2ecl38M5t2y0nCUddy7U75QALYmPu_hwc6MEaqp7ywO0mpYFBZHY9cWA6jMHsF80-A8_9C7ERF88OBMHEswiJb9QGnExWAjH6LVC9M8WVgyAK-X7fGUtbOe9mNvgg5WF_Img/s1600/US-11-19-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh1MmQprSA2ecl38M5t2y0nCUddy7U75QALYmPu_hwc6MEaqp7ywO0mpYFBZHY9cWA6jMHsF80-A8_9C7ERF88OBMHEswiJb9QGnExWAjH6LVC9M8WVgyAK-X7fGUtbOe9mNvgg5WF_Img/s400/US-11-19-23.jpg" width="400" /></a><br />
<br />
こうした傾向は引き続き注視していく必要がありそうです。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-84659202732852711582019-11-18T22:59:00.001+09:002019-11-18T22:59:24.434+09:00ポートスキャン概況(2019年11月18日)本日の概況です。午前11時台にカナダIPから23/tcpの大量着信を観測しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixyr9jyHeM14f8ys0_f07I7qeozRPcG9RZlPMsYVdcsVCzepTWeixIPdFoZUWrfalSR30-bWCRh3pbbmR8jxlFBfpGn9F8394yqhC-Y5l4JfRzWqRx1p7TxTGk0zbFQR8wJ-IE-aoSMys/s1600/overview-11-18-22.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixyr9jyHeM14f8ys0_f07I7qeozRPcG9RZlPMsYVdcsVCzepTWeixIPdFoZUWrfalSR30-bWCRh3pbbmR8jxlFBfpGn9F8394yqhC-Y5l4JfRzWqRx1p7TxTGk0zbFQR8wJ-IE-aoSMys/s400/overview-11-18-22.jpg" width="400" /></a><br />
<br />
この着信は、発信元、宛先ともに単一のIPで、ポートスキャンというよりはDoSに近いものでした。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5qh2j9DnWBeYYAzKFBLORKptmnkmf8-ym3xpmCuDklqXGh-CdJNVKI-OldTJuUUOBJ4XDu1uUDUX3Gr6Tx52nLJcYryCEX4jCmuvy-TRRj1dSQpo_qzmFn67wLJHH2ENf8G3XqIZf0U8/s1600/23-tcp-11-18-22.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh5qh2j9DnWBeYYAzKFBLORKptmnkmf8-ym3xpmCuDklqXGh-CdJNVKI-OldTJuUUOBJ4XDu1uUDUX3Gr6Tx52nLJcYryCEX4jCmuvy-TRRj1dSQpo_qzmFn67wLJHH2ENf8G3XqIZf0U8/s400/23-tcp-11-18-22.jpg" width="400" /></a><br />
<br />
139/tcp,445/tcpのWindosポート宛てでは、インドネシアとベトナムで未明と午前に活発化が見られました。445/tcpは全般的に活発な状況が続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW57e3vFfcQE7oQTkipU0UO2G4uI1fkSA3shN5Vpm6iRiAsUl0xoNiVx5u1RroIaDq5FbG395GG9Prs1OcSWIRwjqnl5VxYkRqrksLQWSxKUma6uNExZXwbpuNAMcLOBrfxt5ObDIcSCk/s1600/139-445-tcp-11-18-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiW57e3vFfcQE7oQTkipU0UO2G4uI1fkSA3shN5Vpm6iRiAsUl0xoNiVx5u1RroIaDq5FbG395GG9Prs1OcSWIRwjqnl5VxYkRqrksLQWSxKUma6uNExZXwbpuNAMcLOBrfxt5ObDIcSCk/s400/139-445-tcp-11-18-22.jpg" width="400" /></a><br />
<br />
1433/tcpの活動は引き続き中国を中心に広い地域で観測されています。少ないながら日本発も観測されています。また、9001/tcpで昨日深夜から今朝にかけて活発化が見られました。発信元はブラジル、中国、タイ、フィリピン、インドなど南米とアジアが中心です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhbM5bCGl6NzvJ877lX1oSGmqZlYY57b77z8hTq8UC5gnnyrBUWqf3FNGjinyEJ2GGvkOAHnshMgK-MBSnJPVr4fx8ysRUiNd8mrFdsHyUYXIEfgVpsCT5p4r4GRoWRFZeKhFhDP8tS9Go/s1600/1433-9001-tcp-11-18-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhbM5bCGl6NzvJ877lX1oSGmqZlYY57b77z8hTq8UC5gnnyrBUWqf3FNGjinyEJ2GGvkOAHnshMgK-MBSnJPVr4fx8ysRUiNd8mrFdsHyUYXIEfgVpsCT5p4r4GRoWRFZeKhFhDP8tS9Go/s400/1433-9001-tcp-11-18-22.jpg" width="400" /></a><br />
<br />
60001/tcpでは、米国発の活動が午後に活発化しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidlSGcrNbmtvXDjJ23pszshyDbNDEIMIqm6E4IYejAG2ElHB1dChjiRWU1xID6fekIX9MkIZdEMbIiNoozLyq_rArk3KW3mR0bWAs5bxgC-zkJUCwE7GTXPcByJi8ucArJQqSPqrBJf50/s1600/60001-tcp-11-18-22.jpg" imageanchor="1"><img border="0" height="111" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidlSGcrNbmtvXDjJ23pszshyDbNDEIMIqm6E4IYejAG2ElHB1dChjiRWU1xID6fekIX9MkIZdEMbIiNoozLyq_rArk3KW3mR0bWAs5bxgC-zkJUCwE7GTXPcByJi8ucArJQqSPqrBJf50/s400/60001-tcp-11-18-22.jpg" width="400" /></a><br />
<br />
国別集計でインド、インドネシア、ブラジルなどを追加しました。インドでは、23/tcpに加え、445/tcpの活動が活発化しています。また、1433/tcpの活動も散発的に発生しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjawCCsXdtvdfH5brxYRg6aekrX6Uhnm6D3mbdvyuYaeyGOwksTHhyphenhyphenJ2OphIEYbYgH5kz_F5Nw8sTJf0s3d_fB3YiPuJkXW9KLqZQ1t6Enev67H__vwnbA-sQwZw2UPYX2Ziro3e1C9z5c/s1600/IN-11-18-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjawCCsXdtvdfH5brxYRg6aekrX6Uhnm6D3mbdvyuYaeyGOwksTHhyphenhyphenJ2OphIEYbYgH5kz_F5Nw8sTJf0s3d_fB3YiPuJkXW9KLqZQ1t6Enev67H__vwnbA-sQwZw2UPYX2Ziro3e1C9z5c/s400/IN-11-18-22.jpg" width="400" /></a><br />
<br />
インドネシアでも、445/tcpと139/tcpが活発化しています。ここ数日、アジア各地で見られている活発化と同じような傾向です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMDof3ES9yZ9yJGl7O8PJa4px4uiU3KVVhY2-SovINXEzgeFjca6cs-HRv2cflvvsgwODw_LLaxImQ_d-LJneVrM0w6F4Fg48Sxp8bqZa5F0BtP8jUN4wshdM8zeoRvzeUhZA5khkn-wU/s1600/ID-11-18-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjMDof3ES9yZ9yJGl7O8PJa4px4uiU3KVVhY2-SovINXEzgeFjca6cs-HRv2cflvvsgwODw_LLaxImQ_d-LJneVrM0w6F4Fg48Sxp8bqZa5F0BtP8jUN4wshdM8zeoRvzeUhZA5khkn-wU/s400/ID-11-18-22.jpg" width="400" /></a><br />
<br />
ブラジルの発の活動は特徴的です。23/tcpに加え、26/tcp, 9000/tcp, 9001/tcpといったポートでの活動が活発で、IoTボット関連の活動レベルが高いと考えられます。昨夜から本日午前中にかけてピークがあり、夜にかけてまた活発化し始めていますが、日本から見て昼夜真逆の時間帯なので、昼間の活発化とみることもできます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhB2lJ-x7H_UCeUNcYhuLm582hmeqXUcwFrkJoTGYM5dmGC1DLf5FQh228772-2qy8FLMZXcun2CrkjBicwIUuNNUX_XIOVxmfpqPCZvOpFCGstt4jgK-0JoHOO7KTffz1h36g2qUiKfcU/s1600/BR-11-18-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhB2lJ-x7H_UCeUNcYhuLm582hmeqXUcwFrkJoTGYM5dmGC1DLf5FQh228772-2qy8FLMZXcun2CrkjBicwIUuNNUX_XIOVxmfpqPCZvOpFCGstt4jgK-0JoHOO7KTffz1h36g2qUiKfcU/s400/BR-11-18-22.jpg" width="400" /></a><br />
<br />
国別に見ると、それぞれ異なる特徴があります。<br />
<br />
<br />
FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-47011634317049520922019-11-17T00:38:00.002+09:002019-11-17T00:39:54.784+09:00ポートスキャン概況(2019年11月16日)本日の概況です。午前中に139/tcp, 445/tcpの活動が活発化しています。23/tcpでは、米国で一時的に活発化した時間帯がありました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNWXTFplW3O4g7WJAmR700Owu-Vb78G0bmKcRgkn6BxQVSt4NeTOFTMT4uvpLllpgXJCS1sUv7wWISWmPCVM_Sc3S8WkaPp7a6_giQjyXVPca8jLl2j8kWiFQuFR7gGm7bVphZQk03Ilo/s1600/overview-11-16-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhNWXTFplW3O4g7WJAmR700Owu-Vb78G0bmKcRgkn6BxQVSt4NeTOFTMT4uvpLllpgXJCS1sUv7wWISWmPCVM_Sc3S8WkaPp7a6_giQjyXVPca8jLl2j8kWiFQuFR7gGm7bVphZQk03Ilo/s400/overview-11-16-22.jpg" width="400" /></a><br />
<br />
139/tcp, 445/tcp活動の主体は中国(CN)とセーシェル(SC)ですが、アジア周辺でも多少活発化がみられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizJeLaFFxXLAUj4TY-gHo7t8IKhK_aygHoYBOy6ups81UyDaR-huF-y9ey_tjI4DKADjvTsSLQTkym-W26367YuJDDLN9DoM-jDUgJuEFvDM6xrJ5i4W5DsAhvWmQsOhFJO2bRaeVqnmo/s1600/139-445-tcp-11-16-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEizJeLaFFxXLAUj4TY-gHo7t8IKhK_aygHoYBOy6ups81UyDaR-huF-y9ey_tjI4DKADjvTsSLQTkym-W26367YuJDDLN9DoM-jDUgJuEFvDM6xrJ5i4W5DsAhvWmQsOhFJO2bRaeVqnmo/s400/139-445-tcp-11-16-23.jpg" width="400" /></a><br />
<br />
一方、日本国内では昨日、今日と1433/tcpの活動が高まった時間帯がありました。また、今日は445/tcpや137/udpといったWindows系のポートへの活動も見られます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZiAUllOJtTz4U-Q3ZYbxLrjZ-45hCz4DJkkCaxSkTCBSqRyBSBwJTPGs1bAm_FUVQoz5fMeCLXxzAIPGnBwfJ11obJoU3yfS6jVzM1_rDJS0jQ8pPLx_SeCOza3q_Gqm3UmQwtfZytZY/s1600/JP-11-16-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjZiAUllOJtTz4U-Q3ZYbxLrjZ-45hCz4DJkkCaxSkTCBSqRyBSBwJTPGs1bAm_FUVQoz5fMeCLXxzAIPGnBwfJ11obJoU3yfS6jVzM1_rDJS0jQ8pPLx_SeCOza3q_Gqm3UmQwtfZytZY/s400/JP-11-16-23.jpg" width="400" /></a><br />
<br />
先の139,445/tcpの活動との関連は不明ですが、マルウエア等の可能性もあり、週明けの内部持ち込み可能性には留意が必要かもしれません。<br />
<br />
このところ、様々な活動が少し活発化しているようにも見えます。引き続き注視したいところです。<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-42082332793032354962019-11-14T23:47:00.001+09:002019-11-14T23:49:05.814+09:00ポートスキャン概況(2019年11月14日)本日の概況です。今日も23/tcpの活動は活発です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPmuq4n5pGTvUlTMYUie9e17gcH4fFBON2_n2w9DFDYPVOhBvLEWH2wvcg92LUJZiTSg_-6TtqBn5T-U2TQIU48ZTNfjb2kf6ijL0DyL14Z-6CKU-9JwGcC1UHL1-ybKg7vy2Yg31GzFk/s1600/overview-11-14-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiPmuq4n5pGTvUlTMYUie9e17gcH4fFBON2_n2w9DFDYPVOhBvLEWH2wvcg92LUJZiTSg_-6TtqBn5T-U2TQIU48ZTNfjb2kf6ijL0DyL14Z-6CKU-9JwGcC1UHL1-ybKg7vy2Yg31GzFk/s400/overview-11-14-22.jpg" width="400" /></a><br />
<br />
中国方面からの活動は小康状態になっていますが、フランスからの突発的な大量着信が今日も発生しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfdZogt3Mk97N7A_hYjw0cgEQgCnyvoPFfnAkbeICTg83M_dFx45gLphrg60UulZPzJiG3I73aXhn3QjDtb1s-cZrQpWqUOot1yEGBvT8aFfHZFgserpURHC0c3NulmmVE2BJWRj21TEQ/s1600/23-tcp-11-14-22.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgfdZogt3Mk97N7A_hYjw0cgEQgCnyvoPFfnAkbeICTg83M_dFx45gLphrg60UulZPzJiG3I73aXhn3QjDtb1s-cZrQpWqUOot1yEGBvT8aFfHZFgserpURHC0c3NulmmVE2BJWRj21TEQ/s400/23-tcp-11-14-22.jpg" width="400" /></a><br />
<br />
5500/tcp(Mirai系ボットの活動と思われる)の活動が米国発で間欠的に活発化しているほか、5500/tcp (Android ADBポート)へのスキャン活動も、特定の地域発のバーストが観測されています。今日は午前中にオランダ(NL)発でバースト的な着信を観測しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnU5d2p22WmaXIxwD-Q4Ri18B46NEFNVq3Wxdh9Rb0S2jrObbvlUULur3hPozZaI6zEIe8jHC6ZguhvJSEdUmfmRt7BTXEphp8BNmHY6jgUEtIqzKAG_Z05CT85pF72vBr_3P1r0tXyRM/s1600/5500-5555-tcp-11-14-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgnU5d2p22WmaXIxwD-Q4Ri18B46NEFNVq3Wxdh9Rb0S2jrObbvlUULur3hPozZaI6zEIe8jHC6ZguhvJSEdUmfmRt7BTXEphp8BNmHY6jgUEtIqzKAG_Z05CT85pF72vBr_3P1r0tXyRM/s400/5500-5555-tcp-11-14-22.jpg" width="400" /></a><br />
<br />
こうした傾向は引き続き注視していく必要がありそうです。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-28004414519123435792019-11-13T23:54:00.001+09:002019-11-13T23:54:28.047+09:00ポートスキャン概況(2019年11月13日)本日の概況です。23/tcpの活動が活性化傾向にあります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTFSsFL8E10YGzZudfD47dRwOm7KQK1VZwo4LkYrskiRnP-lGfftGivKZc1R8tAir8OqPVRY6O8AAwAl3QmepPSTy8zPqA1U6009vgIlo4XKwQxGzRvpkj5IO5soBjsU7x_AwNAdlmdHk/s1600/overview-11-13-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgTFSsFL8E10YGzZudfD47dRwOm7KQK1VZwo4LkYrskiRnP-lGfftGivKZc1R8tAir8OqPVRY6O8AAwAl3QmepPSTy8zPqA1U6009vgIlo4XKwQxGzRvpkj5IO5soBjsU7x_AwNAdlmdHk/s400/overview-11-13-23.jpg" width="400" /></a><br />
<br />
23/tcpでは、中国発の活動が活発化しているほか、フランスや米国、台湾などの地域でも一時的な活発化がみられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzgHuQniOFK9j2nkLn9E-pXvrK3kXC7st-2gwqfqIA2YUeaykzL6o7t1b66YCL2OrjpA9ulhwu39Ff9rR1ceSN8iLS45DZ8sZTTcPFPtFIYlpWExLKWYQ6gi2cjRkff2z18beK5KpwRzM/s1600/23-tcp-11-13-23.jpg" imageanchor="1"><img border="0" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjzgHuQniOFK9j2nkLn9E-pXvrK3kXC7st-2gwqfqIA2YUeaykzL6o7t1b66YCL2OrjpA9ulhwu39Ff9rR1ceSN8iLS45DZ8sZTTcPFPtFIYlpWExLKWYQ6gi2cjRkff2z18beK5KpwRzM/s400/23-tcp-11-13-23.jpg" width="400" /></a><br />
<br />
1433/tcp(MS SQLサーバポート)の活動は、引き続き中国発を中心に活発な状態が続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1cmPxDhXcrMeNSazmk2C8fOI8_ijaAl3C53hVVlR4_zMtT_8I9L0D3zEmWXaWUOikccWGClCce6pikte9scfg6zOW809vex7a9GzRYw7bF6jXutu8Qt-6XV6pSRck7NfpqQ23cqdb8WY/s1600/1433-tcp-11-13-23.jpg" imageanchor="1"><img border="0" height="111" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj1cmPxDhXcrMeNSazmk2C8fOI8_ijaAl3C53hVVlR4_zMtT_8I9L0D3zEmWXaWUOikccWGClCce6pikte9scfg6zOW809vex7a9GzRYw7bF6jXutu8Qt-6XV6pSRck7NfpqQ23cqdb8WY/s400/1433-tcp-11-13-23.jpg" width="400" /></a><br />
<br />
本日午後にはウクライナ、夜にはロシア発で5555/tcp(Android ADBポート)宛ての大量着信が発生しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtNT6c8WQed1i2mJap6lJx6ILxamUbi6x6-zrWCl9DAoU30nAxdXLzKVuDamz8mnSPm6_2jQlzyY2s3OWeN_2OE3qbF2LFp6Jf-1MeEMM9JgOL0TVwBH5ARna1R6kS7c6ZrhDKoy6Vw1I/s1600/5555-tcp-11-1%25EF%25BC%2593-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgtNT6c8WQed1i2mJap6lJx6ILxamUbi6x6-zrWCl9DAoU30nAxdXLzKVuDamz8mnSPm6_2jQlzyY2s3OWeN_2OE3qbF2LFp6Jf-1MeEMM9JgOL0TVwBH5ARna1R6kS7c6ZrhDKoy6Vw1I/s400/5555-tcp-11-1%25EF%25BC%2593-23.jpg" width="400" /></a><br />
<br />
IoTボットなどの活動が全体的に活性化しているようにも見えるので、引き続き注意が必要でしょう。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-64105568510316914672019-11-12T00:19:00.000+09:002019-11-12T00:19:34.180+09:00ポートスキャン概況(2019年11月11日)本日の概況です。お昼前頃から中国割り当てIPを発信元とする大量の123/udp(NTP)パケットの着信が観測されています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDE1dsoEx6JnfMaFVUwjvQlI-Ha79J-nGjWnNRU6B1LSUyLo9VPPSB1SYqrtuPQS23Hg2Y-xjyH_EhU6kVQ4aNM4FOJYTeHBXlJNjOH1QgKL59_d6-WWb_fhMbLruGUNu1hHPINrlQFp0/s1600/overview-11-11-23.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiDE1dsoEx6JnfMaFVUwjvQlI-Ha79J-nGjWnNRU6B1LSUyLo9VPPSB1SYqrtuPQS23Hg2Y-xjyH_EhU6kVQ4aNM4FOJYTeHBXlJNjOH1QgKL59_d6-WWb_fhMbLruGUNu1hHPINrlQFp0/s400/overview-11-11-23.jpg" width="400" /></a><br />
<br />
中国IP発信元のグラフは以下のようになっていて、123/udpパケットが大半を占めています。また、23/tcpの活動が活発になった時間帯もありました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNYcnnb4u6heyCI9mN-xvtC3372toNXfvmkYRCSaTFDKIPyR33JgIKeyOsfQvrCVYG7q0m3077Uo1g_ipG77Skt1sFgXZrh0KlW9MGpWV_4qqflImIus2Uuoboqkqe4R8AxuayXyF2Qkk/s1600/CN-11-11-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgNYcnnb4u6heyCI9mN-xvtC3372toNXfvmkYRCSaTFDKIPyR33JgIKeyOsfQvrCVYG7q0m3077Uo1g_ipG77Skt1sFgXZrh0KlW9MGpWV_4qqflImIus2Uuoboqkqe4R8AxuayXyF2Qkk/s400/CN-11-11-23.jpg" width="400" /></a><br />
<br />
UDPパケットについては、発信元詐称の可能性もあり、中国IPをターゲットとしたDoSの可能性も考えられます。23/tcpでは午後3時台に中国発が活発化しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4WrckU0lurh-f1055tE3cve7Y8GIYGqaft6FhdFUwyq6ufrWWRWBs-JF1f0EjzcUGJed-nwzBLl7G9QFSr1OY0UTDi-dxVo9ZGheLZUL45PHAnU8yFz-mbvn-QPkkfc1NWFO0cRGHQn0/s1600/23-tcp-11-11-23.jpg" imageanchor="1"><img border="0" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg4WrckU0lurh-f1055tE3cve7Y8GIYGqaft6FhdFUwyq6ufrWWRWBs-JF1f0EjzcUGJed-nwzBLl7G9QFSr1OY0UTDi-dxVo9ZGheLZUL45PHAnU8yFz-mbvn-QPkkfc1NWFO0cRGHQn0/s400/23-tcp-11-11-23.jpg" width="400" /></a><br />
<br />
今日はお昼前にかけて、5555/tcp(Android ADBポート)宛てのスキャンが、オランダ、トルコ、フランスといった欧州方面で活発化しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgD0kInaZTeg8FJw_VSmg2Jjrh_l2O-3r3FjxOcUfg_1yoqOffhB74s3r8g7RTN6RLU0KOnKbnH-IVBPRTZ2wIF8yPbMuTc0Zhgqa7Xol53Ve4mP824uvSOW33PfoCVFqUNuKvo6NtGd_Y/s1600/5555-tcp-11-11-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgD0kInaZTeg8FJw_VSmg2Jjrh_l2O-3r3FjxOcUfg_1yoqOffhB74s3r8g7RTN6RLU0KOnKbnH-IVBPRTZ2wIF8yPbMuTc0Zhgqa7Xol53Ve4mP824uvSOW33PfoCVFqUNuKvo6NtGd_Y/s400/5555-tcp-11-11-23.jpg" width="400" /></a><br />
<br />
このところ、少しスキャンのパターンに変化も見られるので、引き続き推移を見ていく必要がありそうです。<br />
<br />
<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-31982367797664905532019-11-10T00:44:00.004+09:002019-11-10T00:44:53.306+09:00ポートスキャン概況(2019年11月9日)本日の概況です。米国で23/tcpの活動が一時的に活発化したほか、1433/tcpの活動も、引き続き中国を中心に活発です。これらもあって、総合順位では米国と中国が交互に首位と2位を奪い合っている状況です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBBM0A680Intl0GPNtCYi28PUzPMEyKygVj375h0mSihbRVk-FP_E7wPdO17FPX46fQayAm3jD6HOvuj_TdxuETnEjg_qVCyaU8seeMWUqZBzD-abZLQdx_Q2kUwBsvaVO_d_oL7jZjgs/s1600/overview-11-09-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBBM0A680Intl0GPNtCYi28PUzPMEyKygVj375h0mSihbRVk-FP_E7wPdO17FPX46fQayAm3jD6HOvuj_TdxuETnEjg_qVCyaU8seeMWUqZBzD-abZLQdx_Q2kUwBsvaVO_d_oL7jZjgs/s400/overview-11-09-23.jpg" width="400" /></a><br />
<br />
23/tcpでは、中国、米国、カナダ、ネパールなどの国が比較的活発ですが、今日の米国を含め、その他の地域でも時折一時的な活発化が見られます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm5WyYbmrwi39oJnuzf20DA2mqaMvTWF6bxjdtHpLDH0zDP9_B1x6w9Lx-SN3zcr7pT9GTrcvZ52XEAZLbCbR6n0wJuEZGhrXFoe50yyck2Vx2GkE5fy49PjQjqOQiWHWKz5YPR9uRdrQ/s1600/23-tcp-11-09-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjm5WyYbmrwi39oJnuzf20DA2mqaMvTWF6bxjdtHpLDH0zDP9_B1x6w9Lx-SN3zcr7pT9GTrcvZ52XEAZLbCbR6n0wJuEZGhrXFoe50yyck2Vx2GkE5fy49PjQjqOQiWHWKz5YPR9uRdrQ/s400/23-tcp-11-09-23.jpg" width="400" /></a><br />
<br />
139,445/tcp (Winodws netbios/SMB)への活動では、本日、ベネズエラ発で一時的な活発化が観測されました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWIzDglTvqqmfBDabso6AtQdaAsKEx3Q0lrBgFJBAet3ohND2FlCk9oMQf-vF4yoL-mu71Nw3iasl3B_b3pUm5IcExyAK-0Q0VpD-URbcqjtKi01JQIHw0nWGH7FbxZY0EY0Ws1l0-vMA/s1600/139-445-tcp-11-09-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgWIzDglTvqqmfBDabso6AtQdaAsKEx3Q0lrBgFJBAet3ohND2FlCk9oMQf-vF4yoL-mu71Nw3iasl3B_b3pUm5IcExyAK-0Q0VpD-URbcqjtKi01JQIHw0nWGH7FbxZY0EY0Ws1l0-vMA/s400/139-445-tcp-11-09-23.jpg" width="400" /></a><br />
<br />
国別では、本日午後3時台に、中国割り当ての単一IPから、短時間に広範囲のハイポートへのスキャン活動を観測しています。発信元ポートが一定で無いことやセグメント全体にスキャンしていることなどから、意図的なスキャン活動と考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgO2WqN849Y7r8FJ9makJl_PqR2BQwM55HlJr-QTMcfkYf0wKltqhdsch1Efc3lCRsGQMeDhLsKve_KdXbIIjRigVdJ871CVRTc6QDlYTxvbh-JA5RyJwFS_uE-UWsGpa-KafybaPkAf-E/s1600/CN-11-09-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgO2WqN849Y7r8FJ9makJl_PqR2BQwM55HlJr-QTMcfkYf0wKltqhdsch1Efc3lCRsGQMeDhLsKve_KdXbIIjRigVdJ871CVRTc6QDlYTxvbh-JA5RyJwFS_uE-UWsGpa-KafybaPkAf-E/s400/CN-11-09-23.jpg" width="400" /></a><br />
<br />
オランダ(NL)では、広範なポートへのスキャンが観測されていますが、昨日辺りから少し活発化がみられます。また、ポート分布で20000番周辺の密集した部分はDDoSのリフレクションなどの可能性が考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQlyY5olNZG0Ujx8U7BAEpORonjZcY0Aw3f7ZHlZmmp8mtE7IpLTjYqqZMSuyQcM0uRTUEAX27VtoLqDt_1M6ObH8E9l_RbNCOEvH2ajAXfGu9ntiGyL7WG6MH3AGOUzX6ud2CdIYudaU/s1600/NL-11-09-23.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQlyY5olNZG0Ujx8U7BAEpORonjZcY0Aw3f7ZHlZmmp8mtE7IpLTjYqqZMSuyQcM0uRTUEAX27VtoLqDt_1M6ObH8E9l_RbNCOEvH2ajAXfGu9ntiGyL7WG6MH3AGOUzX6ud2CdIYudaU/s400/NL-11-09-23.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-74413998954230849102019-11-08T01:00:00.003+09:002019-11-08T01:00:59.142+09:00ポートスキャン概況(2019年11月7日)本日のポートスキャン観測概況です。引き続き、23/tcpでは地域限定で短時間の突発的なバーストが発生する傾向にあります。国別では一昨日の23/tcpバーストの影響で米国がスキャン数でトップに出ました。2位の中国では、引き続き1433/tcpの活動が活発です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqP7VY-8GCOauo54zSzlUDOk7-dSQrJTwdwHsGe9LG7l7pkedQkauQ9JtMa4p0V5eaxhjUNO2-Potk4gS2bZMiXNaIqsBmM53SwFQezUxRnA5TeC-mKtsHrHkageVpnPkSVuvyY50Nr3A/s1600/overview-11-07-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjqP7VY-8GCOauo54zSzlUDOk7-dSQrJTwdwHsGe9LG7l7pkedQkauQ9JtMa4p0V5eaxhjUNO2-Potk4gS2bZMiXNaIqsBmM53SwFQezUxRnA5TeC-mKtsHrHkageVpnPkSVuvyY50Nr3A/s400/overview-11-07-23.jpg" width="400" /></a><br />
<br />
23/tcpでは、一昨日の米国の後、中国やフランスなどでも比較的小規模(と言っても米国のバーストが大きすぎたためで、それぞれは十分に大きいですが)バーストが発生しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTkFl0JQwz_H5_HaBrw-wiwEEqLsd0WuEx3EuKBhsB3-fnJxVyEncyADjparWWXv42WzaA3HGgbtlnVSXLDN_fYvBPDqqU4TyhNwZjD5b3f33-h2oRvhzdHqruOrNh4rYGL-IS3DbqdUs/s1600/23-tcp-11-07-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTkFl0JQwz_H5_HaBrw-wiwEEqLsd0WuEx3EuKBhsB3-fnJxVyEncyADjparWWXv42WzaA3HGgbtlnVSXLDN_fYvBPDqqU4TyhNwZjD5b3f33-h2oRvhzdHqruOrNh4rYGL-IS3DbqdUs/s400/23-tcp-11-07-23.jpg" width="400" /></a><br />
<br />
8080/tcpの活動は中国を中心にじわじわと活発化しているように見えます。このポートはWebプロキシの他、様々な機器のWebコンソールなどにも使われているため、様々な目的のスキャンが混在している可能性があります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFR10ixZQldsuiAyPUPXy1eNjtABS0pJnptoUtgKTaQTxW9bGuCk2AifGAkGUSqKINEXbIbYzpZRrzHDtN5AXw1Zn0wa4DFeTbI4yyapSx724F2D6HFwQmEAiCjDObTmkA0BNsbhkOJJw/s1600/8080-tcp-11-07-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFR10ixZQldsuiAyPUPXy1eNjtABS0pJnptoUtgKTaQTxW9bGuCk2AifGAkGUSqKINEXbIbYzpZRrzHDtN5AXw1Zn0wa4DFeTbI4yyapSx724F2D6HFwQmEAiCjDObTmkA0BNsbhkOJJw/s400/8080-tcp-11-07-23.jpg" width="400" /></a><br />
<br />
1433/tcpでは中国発が多くを占めるものの、その他多くの地域を発信元とするスキャンが観測されています。発信元はダイナミック割り当てと思われるIPが多く、PCへのマルウエア感染が疑われます。PC経由で内部のSQLサーバへの攻撃を狙うマルウエア等の可能性があります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijmHBJIejTimaRvDqGhk_OH8TSYHuWjlJLPZtyahMLqFu843wyoZYY9qW_n0BopntCgshZWu5vT93b5bTsCP4ldICs7Xp7K4XgB2hKBim4sruPeavDtvJgGZ2u6SWu01Qtf8dmlRpz0mI/s1600/1433-tcp-11-07-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEijmHBJIejTimaRvDqGhk_OH8TSYHuWjlJLPZtyahMLqFu843wyoZYY9qW_n0BopntCgshZWu5vT93b5bTsCP4ldICs7Xp7K4XgB2hKBim4sruPeavDtvJgGZ2u6SWu01Qtf8dmlRpz0mI/s400/1433-tcp-11-07-23.jpg" width="400" /></a><br />
<br />
国別で、日本発の状況を見ると、全体的には不活発ですが、散発的に特徴的な活動もみられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhnip5ZGN8oz4yWDuZyzpKtsrSYnWuImCIET3nnvvThFWPcS1CXjK2Wv1TMAWI4AhfMEIeLumsrboxLko1LPjzKQz4K_0TIcu1ATc0HgfWpZKU16DR10QxD8QZ_FNhHQiG84u8qf5TBuGw/s1600/JP-11-07-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhnip5ZGN8oz4yWDuZyzpKtsrSYnWuImCIET3nnvvThFWPcS1CXjK2Wv1TMAWI4AhfMEIeLumsrboxLko1LPjzKQz4K_0TIcu1ATc0HgfWpZKU16DR10QxD8QZ_FNhHQiG84u8qf5TBuGw/s400/JP-11-07-23.jpg" width="400" /></a><br />
<br />
ここ数日で目立ったのが、47924/tcpに対するものと39090/tcpに対するものです。いずれも正規の割り当てがないポートですが、グーグルで検索してみた結果では、前者はNFS関連のRPCで使われている可能性があり、後者はHPE社のVSDクラスタをProxy(F5のBigIP)経由で管理する際のポートとしてマニュアルに記載がありました。実際の目的は不明ですが、これらに関連した探索活動の可能性もあります。また、昨日の夜には139/tcpと445/tcpへのスキャンが増加しました。これらは通常の活動レベルよりもかなり高いレベルの活動で、マルウエアもしくは意識的な探索活動による可能性が高いと思われます。<br />
<br />
以上、本日の概況でした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-5740395593377686212019-11-05T23:40:00.001+09:002019-11-05T23:40:59.858+09:00ポートスキャン概況(2019年11月5日)出張から帰国後、サーバを復旧させ、一週間分ほどのデータが蓄積したので、またレポートを再開します。今日は米国方面で23/tcpの爆発的な活動を観測しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFKjS7x1cR8HNlslbtacyQE6VrwEDllwg1bbrwOmZzLsVIuD2ie0KywiWEL1z-2fn5-e4r_GtZF91Al88WgFBApbg0kJoNWqv4uCCPmyWdnIxfGjR_Ow6v3Qj9QH3zv_p7DwlAaKJ3kY0/s1600/US-11-06-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjFKjS7x1cR8HNlslbtacyQE6VrwEDllwg1bbrwOmZzLsVIuD2ie0KywiWEL1z-2fn5-e4r_GtZF91Al88WgFBApbg0kJoNWqv4uCCPmyWdnIxfGjR_Ow6v3Qj9QH3zv_p7DwlAaKJ3kY0/s400/US-11-06-23.jpg" width="400" /></a><br />
<br />
先日は中国でも同様の活動があり、その前はカナダと、いくつかの地域で散発的にこうしたバーストが発生しています。特定のボットの活動によるものと見られますが、新たな亜種の感染拡大やアップデート、スキャン活動などが考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0fDv6pXMpalmgBqchogqTw-mQroRKkp8H6kZ_PFDfvtTUevPGiUKTKu1rQpCCoLA27pq3cydo-npws2rjoketesbJ9QhcayxMtXW5WujzKW7Z7BDO_QvSbc19gpK9dsJN_Gr6NF-j5cc/s1600/23-tcp-11-06-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi0fDv6pXMpalmgBqchogqTw-mQroRKkp8H6kZ_PFDfvtTUevPGiUKTKu1rQpCCoLA27pq3cydo-npws2rjoketesbJ9QhcayxMtXW5WujzKW7Z7BDO_QvSbc19gpK9dsJN_Gr6NF-j5cc/s400/23-tcp-11-06-23.jpg" width="400" /></a><br />
<br />
1433/tcpの活動も引き続き、中国発を中心に高い状態が続いています。こちらについても引き続き注意が必要でしょう。<br />
<br />
以上、今日の概況でした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-1192292152685748072019-10-26T13:25:00.001+09:002019-10-26T13:25:08.578+09:00しばらくお休みします現在、米国に出張しておりますが、日本にある機材の一部に不具合が生じているため、ポートスキャンのレポートはしばらく休止します。11月に帰国後復旧しますが、データの欠落が生じることから、完全復旧にはしばらくかかる見通しです。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-85545445218206173432019-10-23T01:05:00.002+09:002019-10-23T01:05:27.101+09:00ポートスキャン概況(2019年10月22日)本日の概況です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj_KxtvOgcGOvn0tubetXFHBioImdY-xoDBRwfmK7zBk-Uqq6PemH7dJ61JtZepsVI5qTQGeNOvEap8MDN7fUCV5JG5xQgfHzXo0Rwm1dRS0o0ys7WIxXQ9XLHJ3MsVE00-KFFXxfHlUE/s1600/overview-10-22-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj_KxtvOgcGOvn0tubetXFHBioImdY-xoDBRwfmK7zBk-Uqq6PemH7dJ61JtZepsVI5qTQGeNOvEap8MDN7fUCV5JG5xQgfHzXo0Rwm1dRS0o0ys7WIxXQ9XLHJ3MsVE00-KFFXxfHlUE/s400/overview-10-22-23.jpg" width="400" /></a><br />
<br />
今朝5時台に、米国発でSMTP(S)関連ポート(25,465,587/tcp)を狙ったスキャンが多数発生しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifT71d0zFmC_C7Cq-ft620ImxhHM8C3jc_R7oFDZHTKn9PEvujLd2uzRf64je9DTBCnv4FM8yv-x1wZ0xWuSVBjgA4vfVvrQYBNasxyjBa35vmUNYLntmm5h3xaH1b-uuWsEmBLc_2teo/s1600/US-10-22-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEifT71d0zFmC_C7Cq-ft620ImxhHM8C3jc_R7oFDZHTKn9PEvujLd2uzRf64je9DTBCnv4FM8yv-x1wZ0xWuSVBjgA4vfVvrQYBNasxyjBa35vmUNYLntmm5h3xaH1b-uuWsEmBLc_2teo/s400/US-10-22-23.jpg" width="400" /></a><br />
<br />
23/tcpでは、エストニア発のバーストは終息し、引き続き米国、中国、カナダなどでの活動が活発です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjiqzAfhJAORilzosFA-giYA9bvwqQOrNxH5WgZh-Jhz2NRZVTqEClORYaKchp1SdqKzjhlJxYBOV6IQWWBznR44NEZGZ1C_VD3bQ9mGC0vK3J9ZnaWkLpa7QS03g734_R5haGuOEQqHXI/s1600/23-tcp-10-22-23.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjiqzAfhJAORilzosFA-giYA9bvwqQOrNxH5WgZh-Jhz2NRZVTqEClORYaKchp1SdqKzjhlJxYBOV6IQWWBznR44NEZGZ1C_VD3bQ9mGC0vK3J9ZnaWkLpa7QS03g734_R5haGuOEQqHXI/s400/23-tcp-10-22-23.jpg" width="400" /></a><br />
<br />
このうちカナダでは、23/tcpの活動が大半を占めています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUdShjvV_k-iK4lPMx6aCLubzpgCo2bkCUIsP2FkFnp7hoIuzkALhONXR0ziks0RuJXFJ4v_XeQelENCf2P9fiWLMj3a-HzTfOjm3uPXkBDRK4Kh3TjOLJMoHTAZYu7B5Uk9I9WZThHEI/s1600/CA-10-22-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjUdShjvV_k-iK4lPMx6aCLubzpgCo2bkCUIsP2FkFnp7hoIuzkALhONXR0ziks0RuJXFJ4v_XeQelENCf2P9fiWLMj3a-HzTfOjm3uPXkBDRK4Kh3TjOLJMoHTAZYu7B5Uk9I9WZThHEI/s400/CA-10-22-23.jpg" width="400" /></a><br />
<br />
1433/tcpの活動は引き続き中国を中心に高い状態が続いており、ここ数日活発だった9001/tcpの活動は終息に向かいつつあります。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHM-Yo2X1qfuBkbV_c5HFDR7-8ScOnFPzpr3RPx1xzslfBR8J6gfiNnSLE5fviopuBfAZRuK6_ecAkCdzwjBjv0nqAiuNbjpSlarzFEBG5kxMTkWWkJh3lgKKx8zLYhjP16E_spM-uYII/s1600/1433-9001-tcp-10-22-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiHM-Yo2X1qfuBkbV_c5HFDR7-8ScOnFPzpr3RPx1xzslfBR8J6gfiNnSLE5fviopuBfAZRuK6_ecAkCdzwjBjv0nqAiuNbjpSlarzFEBG5kxMTkWWkJh3lgKKx8zLYhjP16E_spM-uYII/s400/1433-9001-tcp-10-22-23.jpg" width="400" /></a><br />
<br />
新たに、エストニアとオランダについて国別の集計を作って見ました。エストニア発では幅広いポートへのスキャン活動が見られます。時折集中的なスキャン活動もあるようです。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQb5qfoZkdg79bE065bDh7wzPIXKkx7L9qdiVoB67aLe4EWiF1vHP-GhMfvbsC_FnvrSLkPrU59KnirGvgI0gT3t4sZtPq8Gl-TNY3bz73BDkmKhYC8m0sox4t1ziN0qqORgCKUmz0CIA/s1600/EE-10-22-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjQb5qfoZkdg79bE065bDh7wzPIXKkx7L9qdiVoB67aLe4EWiF1vHP-GhMfvbsC_FnvrSLkPrU59KnirGvgI0gT3t4sZtPq8Gl-TNY3bz73BDkmKhYC8m0sox4t1ziN0qqORgCKUmz0CIA/s400/EE-10-22-23.jpg" width="400" /></a><br />
<br />
オランダ発では非常に多数の連続的なポート範囲への着信が観測されていますが、これらはIP詐称によるリフレクションの可能性もありそうです。積み上げグラフの限界を超えるため、下の時系列グラフでは時間当たりのイベント数が10を越えるポートのみ表示しています。特徴的なのは、3306/tcp(MySQLポート)へのスキャンが特に活発なことでしょう。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFc2YEwsRCRs2DlQYqR0cCf9-MBPzOWYPmhrwjsQ3fuLmHKPcip4XXqP-ER1BOmbxQsO_Vi3CXz3zqY_DeL91OMkGZ79jF8jB-qjuVb0C1xwgnDdgSac_r94vnGu3zE-Yb0Di-LBt-fYo/s1600/NL-10-22-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgFc2YEwsRCRs2DlQYqR0cCf9-MBPzOWYPmhrwjsQ3fuLmHKPcip4XXqP-ER1BOmbxQsO_Vi3CXz3zqY_DeL91OMkGZ79jF8jB-qjuVb0C1xwgnDdgSac_r94vnGu3zE-Yb0Di-LBt-fYo/s400/NL-10-22-23.jpg" width="400" /></a><br />
<br />
WebサーバへのDoSライクな着信は引き続き間欠的に続いていて、本日の夕方以降、現在まだ継続中です。このところ使われているのはイタリア割り当てのIPアドレスです。53/tcp(DNS tcpポート)への着信も米国発主体に多い状態が続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7jIZnSE4uEZtaFm_mxABftiy6QFqKTgb6uA9ePauFtgTVi09DKJD9b759Y0HK7Ij_6uZK7vsVjZikBvMXNnvPYGrJ0V8v8iG9mIrFRsCEzu5k_sSSTRjU2SnZHPK_JlMtFH8CIlvH9fM/s1600/Web-access-10-22-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg7jIZnSE4uEZtaFm_mxABftiy6QFqKTgb6uA9ePauFtgTVi09DKJD9b759Y0HK7Ij_6uZK7vsVjZikBvMXNnvPYGrJ0V8v8iG9mIrFRsCEzu5k_sSSTRjU2SnZHPK_JlMtFH8CIlvH9fM/s400/Web-access-10-22-23.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。<br />
<br />FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-11017055400583019192019-10-22T01:01:00.001+09:002019-10-22T01:01:47.261+09:00ポートスキャン概況(2019年10月21日)数日、多忙のためレポートを書けませんでした。本日を含め、ここ数日の概況です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBpysm0P_gWrZj-p9VJqX3uQfSkVaRIfDP2b7JXU9IRwB9uH2GWcCpE6bijYmQqlySe7k86i2N__haCE0DFCSEFy4zXNKr6oEApmawqOv6tTAsVDERBGgRKEZ7J9aDEyMNH-mE5pbemVk/s1600/overview-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgBpysm0P_gWrZj-p9VJqX3uQfSkVaRIfDP2b7JXU9IRwB9uH2GWcCpE6bijYmQqlySe7k86i2N__haCE0DFCSEFy4zXNKr6oEApmawqOv6tTAsVDERBGgRKEZ7J9aDEyMNH-mE5pbemVk/s400/overview-10-21-23.jpg" width="400" /></a><br />
<br />
大きな動きとしては、9001/tcpへのスキャンが、台湾(TW)を中心に、ロシア、ベトナム、ブラジル、韓国といった国を発信元として活性化している点です。全体のランキングでも4位に浮上しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjlkoLDg6LjhaM-T20l_0xHM3worzLAyFZc65kLZtjQ5HOKUCCTCSf_HKw9a_kGTMWvXW_xgoVAd1Jf2D9LPFExUx5tYYGgX-QGNVeXI2t0F5CxWyNGDbZfgSAWfca8ayjv-TR48hs15E/s1600/9001-tcp-10-21-23.jpg" imageanchor="1"><img border="0" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhjlkoLDg6LjhaM-T20l_0xHM3worzLAyFZc65kLZtjQ5HOKUCCTCSf_HKw9a_kGTMWvXW_xgoVAd1Jf2D9LPFExUx5tYYGgX-QGNVeXI2t0F5CxWyNGDbZfgSAWfca8ayjv-TR48hs15E/s400/9001-tcp-10-21-23.jpg" width="400" /></a><br />
<br />
このポートはTorのリレーポートとして知られていますが、他にも使われているため実際の目的は今のところ不明です。ただ、傾向から見てなんらかのマルウエア活動の可能性が高いと考えられるため、注視が必要でしょう。<br />
<br />
23/tcp(telnet)も引き続き活発ですが、こちらは間欠的にエストニア(EE)からの活動の活発化が観測されています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4SZzINcdWW7ET6rO-Jbzw3hyiFp8A5w0_Z7DBvs11ZnXVNL-7R8C7cLOKCBNyIgG5v58mJXvjZpZfeE_VdZLP55UkjvwJ2vzNhtYEnh705wWAetvz11cVelC3tkDd34g9Vy1qEX7ST84/s1600/23-tcp-10-21-23.jpg" imageanchor="1"><img border="0" height="117" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh4SZzINcdWW7ET6rO-Jbzw3hyiFp8A5w0_Z7DBvs11ZnXVNL-7R8C7cLOKCBNyIgG5v58mJXvjZpZfeE_VdZLP55UkjvwJ2vzNhtYEnh705wWAetvz11cVelC3tkDd34g9Vy1qEX7ST84/s400/23-tcp-10-21-23.jpg" width="400" /></a><br />
<br />
1433/tcp(MS SQLサーバポート)の活動も引き続き中国発を中心に高止まりしています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHBcp7sjOWfUzp_ZKcgNFa_4bR8lxwH-rXE3iu2OcGfzifuQcawth2JGAzdtWdhwh2gqoOtFso_fMKKeHAIJazFE30RIrXTY3YEafi0i8c0TTwWcxn67nqiSGu3lZZNz6u2L-JavqthEA/s1600/1433-tcp-10-21-23.jpg" imageanchor="1"><img border="0" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhHBcp7sjOWfUzp_ZKcgNFa_4bR8lxwH-rXE3iu2OcGfzifuQcawth2JGAzdtWdhwh2gqoOtFso_fMKKeHAIJazFE30RIrXTY3YEafi0i8c0TTwWcxn67nqiSGu3lZZNz6u2L-JavqthEA/s400/1433-tcp-10-21-23.jpg" width="400" /></a><br />
<br />
発信元の多くがISPのダイナミック割り当てアドレスとみられることから、発信元の主体は、なんらかのマルウエアに感染したPCである可能性が高いと考えられます。検索してみると、<a href="https://blog.trendmicro.co.jp/archives/14455" target="_blank">トレンドマイクロブログの2017年の記事</a>でWindows PCを踏み台にして拡散するIoTマルウエアについて書かれていますが、こうしたマルウエアが拡散している可能性も考えられます。いずれにせよ、PCを狙って感染し、内部ネットワークで感染を広げようとするマルウエアの可能性が高いため、万一の持ち込みに備えて注意が必要でしょう。内部ネットワークから外向きの1433/tcp通信を監視する必要がありそうです。<br />
<br />
国別では、中国発の活動が引き続き活発です。1433/tcpや23/tcpのほか多くのポートで活動がありますが、非標準ポートを含めたWebサーバに対するスキャンとみられる活動が高まった時間帯があり、IoT系マルウエアに関連した活動である可能性も考えられます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhT-PCS_-2QykZ4lQwEgpu5XfwOCr4eYRTLlzyDS4ipKo0ZRxrs4_mVnQRTNfVduVu6OY5719656ad9g6aqoJbToD4LXhyphenhyphenratEv2HqyP3tRnViw4bo-_nwC_SFHV1I8IVQGMm3uSy1tGJM/s1600/CN-10-21-23.jpg" imageanchor="1"><img border="0" height="226" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhT-PCS_-2QykZ4lQwEgpu5XfwOCr4eYRTLlzyDS4ipKo0ZRxrs4_mVnQRTNfVduVu6OY5719656ad9g6aqoJbToD4LXhyphenhyphenratEv2HqyP3tRnViw4bo-_nwC_SFHV1I8IVQGMm3uSy1tGJM/s400/CN-10-21-23.jpg" width="400" /></a><br />
<br />
香港発では、本日未明に23/tcpの活動が高まったほか、1433/tcpの活動も散見されています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqGwgKma5NrhGVWaNTCN06iTQnjSg7wWI7ao7WIYgO3V7trnHHMAjs6Y6Wrb_eaNk2NaMzg7ljDQ2l7Pt3mlgo8WppzU2tHWAiWK77XYaOp_krmdEMWpOpg0gFLSG1TjpA4oAwkBfcz_I/s1600/HK-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqGwgKma5NrhGVWaNTCN06iTQnjSg7wWI7ao7WIYgO3V7trnHHMAjs6Y6Wrb_eaNk2NaMzg7ljDQ2l7Pt3mlgo8WppzU2tHWAiWK77XYaOp_krmdEMWpOpg0gFLSG1TjpA4oAwkBfcz_I/s400/HK-10-21-23.jpg" width="400" /></a><br />
<br />
台湾発では、先に述べたように9001/tcp活動が活発です。以前から続いている23/tcpの活動も引き続き活発な状態が続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMuAIaVZJjRUdu5IcT66mDk554X2UmRo4fsCTTCNBKUubRY2z8BRpipF3xy9DdfPNYGQeCAzlmlH7n1HisXnho7CiQhkFDuIyH9BGk2c0xQzOJMlAs6CJK5ECssZJq7cr3oBLz5CAFbUQ/s1600/TW-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiMuAIaVZJjRUdu5IcT66mDk554X2UmRo4fsCTTCNBKUubRY2z8BRpipF3xy9DdfPNYGQeCAzlmlH7n1HisXnho7CiQhkFDuIyH9BGk2c0xQzOJMlAs6CJK5ECssZJq7cr3oBLz5CAFbUQ/s400/TW-10-21-23.jpg" width="400" /></a><br />
<br />
ベトナム発でも従来からの445/tcpなどに加え、1433/tcp, 9001/tcpなどの活動が相対的に高まっています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2koj8pciYtefuIUJOHjiwHClP2TWphxBmSHOL4AxlMkuFBZaFRIyTHLYazjy_5vSMqABHNdcEnzWw3OWrYLC_hynyoY3aNUJOKkZV8pD8YcclDjijI9nQNKc7fXJhBOt75fYpBbhfulk/s1600/VN-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg2koj8pciYtefuIUJOHjiwHClP2TWphxBmSHOL4AxlMkuFBZaFRIyTHLYazjy_5vSMqABHNdcEnzWw3OWrYLC_hynyoY3aNUJOKkZV8pD8YcclDjijI9nQNKc7fXJhBOt75fYpBbhfulk/s400/VN-10-21-23.jpg" width="400" /></a><br />
<br />
従来、23/tcp, 7547/tcp, 8291/tcpとルーター系に感染するIoTマルウエアとみられるスキャンが大量に発生していたネパールでも、このところ445/tcp, 1433/tcpなどの活動がみられるようになっています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyX_D3B8XGyuHySV2oSto-usJ_DCa_yEJzSiKNf55s0nF0qnY_ZiFRy1nFqvyCmjZSwhEfKjV8bM9DQGLMJQ_ksLcTiUbfwlg0ApFcSay9ppKm5sgowfydj8o-bunnQqxhpCm6ygvDkbA/s1600/NP-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiyX_D3B8XGyuHySV2oSto-usJ_DCa_yEJzSiKNf55s0nF0qnY_ZiFRy1nFqvyCmjZSwhEfKjV8bM9DQGLMJQ_ksLcTiUbfwlg0ApFcSay9ppKm5sgowfydj8o-bunnQqxhpCm6ygvDkbA/s400/NP-10-21-23.jpg" width="400" /></a><br />
<br />
韓国でも、1433/tcpに加え、9001/tcpの活発化が見られます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuAVcCJV1hJqnPZdhJX8kZ1TOnXmU6yTDHbXw4C_OBHs_85vSGrS5WsOM4PJdTlX-SZSqHB6w5NGRi3xXwXhZ9s_r8NyZUrrDMLsnp6z-ITJSmZN3TuKs-PYOSVHrAgFtTq0sWFH54T44/s1600/KR-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjuAVcCJV1hJqnPZdhJX8kZ1TOnXmU6yTDHbXw4C_OBHs_85vSGrS5WsOM4PJdTlX-SZSqHB6w5NGRi3xXwXhZ9s_r8NyZUrrDMLsnp6z-ITJSmZN3TuKs-PYOSVHrAgFtTq0sWFH54T44/s400/KR-10-21-23.jpg" width="400" /></a><br />
<br />
米国発では引き続き広範なポートへのスキャンが発生していますが、23/tcp, 445/tcp,1433/tcpの活動は相対的に高止まりしています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixK5jvNXbebT4xB_6UqlSc-JBMu5x52fAaasH0kDpqXsDnd21YAukteps3zFBK47G0YeCbyWoNYgs91fV76SFpmGCuA6veWXsbfCArmch3l4ZUP-7lOF4NiB6v1yHGHlcYyZY_khbqvh0/s1600/US-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEixK5jvNXbebT4xB_6UqlSc-JBMu5x52fAaasH0kDpqXsDnd21YAukteps3zFBK47G0YeCbyWoNYgs91fV76SFpmGCuA6veWXsbfCArmch3l4ZUP-7lOF4NiB6v1yHGHlcYyZY_khbqvh0/s400/US-10-21-23.jpg" width="400" /></a><br />
<br />
ロシア発では、ごく少数のホストを発信元に、非常に広範なスキャンが行われており、人為的な探索活動が疑われます。特に、RDPなどの特定のサービスに関して、標準以外で使われる可能性が高いポートの周辺を念入りにスキャンしている様子が見られます。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYqBlgE5phzjvxlsotw5gZT7hV9bTaYoCwzf0a8Vo1VxNLLL9sSH8T2U_tN1T3XgvVN_JeCTjvU6oQ0tzDz0cbx7mECAhP5j34xlJfEzmRcYkiuxTiFoLIB0QAtwOg2Bq9Y3gy8XaA8oQ/s1600/RU-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjYqBlgE5phzjvxlsotw5gZT7hV9bTaYoCwzf0a8Vo1VxNLLL9sSH8T2U_tN1T3XgvVN_JeCTjvU6oQ0tzDz0cbx7mECAhP5j34xlJfEzmRcYkiuxTiFoLIB0QAtwOg2Bq9Y3gy8XaA8oQ/s400/RU-10-21-23.jpg" width="400" /></a><br />
<br />
日本発のスキャンは絶対数は少ないですが、一時的に139/tcp(netbios), 445/tcp(SMB)の活動が活発化した時間帯があるほか、22/tcp(ssh), 23/tcp(telnet), 1433/tcp(MS SQL)などの活動も相対的に高い状態にあります。9001/tcpに関してはいまのところ活動は観測されていません。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw8hHCpawCxauQE4YVqinv10nqzkwJD9TBs__ZvNLJv1zeCUeycssKKLTn6IPEwVg1YgabZnZstraGresrflWz3K4qWeEBL5QKceSqNZoPiUFZ9RXf-JNAsm1qht6toCqzflwp5QffByk/s1600/JP-10-21-23.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiw8hHCpawCxauQE4YVqinv10nqzkwJD9TBs__ZvNLJv1zeCUeycssKKLTn6IPEwVg1YgabZnZstraGresrflWz3K4qWeEBL5QKceSqNZoPiUFZ9RXf-JNAsm1qht6toCqzflwp5QffByk/s400/JP-10-21-23.jpg" width="400" /></a><br />
<br />
Webサーバ、DNSサーバなどへのDoSライクな着信は、引き続き間欠的に続いています。Webサーバに関しては、80/tcpと443/tcpがセットで同じようなレートで着信しています。53/tcp(DNSのTCPポート)には、米国を中心に多数の着信が見られています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiq9OOjHAyZP_TQwZfaM5DHyDuq6XpkShnIg30yNQQORt06gQbz4o0A_xrWHgQqFDAZdjQ13n1TinSY6XrRvuANTBFsn4GJ5NB_VTDd3e_NgEQQnKtHwE8H2CTZ3HoqL4xXP_MvYDNtUp0/s1600/Web-access-10-21-23.jpg" imageanchor="1"><img border="0" height="223" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiq9OOjHAyZP_TQwZfaM5DHyDuq6XpkShnIg30yNQQORt06gQbz4o0A_xrWHgQqFDAZdjQ13n1TinSY6XrRvuANTBFsn4GJ5NB_VTDd3e_NgEQQnKtHwE8H2CTZ3HoqL4xXP_MvYDNtUp0/s400/Web-access-10-21-23.jpg" width="400" /></a><br />
<br />
以上、ここ数日のまとめでした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-45713206476627087012019-10-16T23:34:00.001+09:002019-10-16T23:34:29.131+09:00ポートスキャン概況(2019年10月16日)本日の概況です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiANcZT5aDj8yIuCbxDN5t83nGMPJ9FcJeUlYT2cLf20aArmF3TN2Sj2sHWzZmmk-XbI93xuriROA2rOuBzWCoUVUWWs8ZQSQVNxOcyH7zAYsnaMER4FXnIIQa9x0S8eIaYIVIPFiLgOFI/s1600/overview-10-16-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiANcZT5aDj8yIuCbxDN5t83nGMPJ9FcJeUlYT2cLf20aArmF3TN2Sj2sHWzZmmk-XbI93xuriROA2rOuBzWCoUVUWWs8ZQSQVNxOcyH7zAYsnaMER4FXnIIQa9x0S8eIaYIVIPFiLgOFI/s400/overview-10-16-22.jpg" width="400" /></a><br />
<br />
国別のポートランキングで、オランダ(NL)での3306/tcp(MySQLサーバポート)へのスキャンが際立っています。時系列では、16時台に23/tcpのスキャン数が増加しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYYzwKrg3KrFtluv7quTiznsOhoQKBLjPtCYFOI14G1BdTa3BQ22V2w25Ab4_IJBXM1yxWXH1rxpqKl6cYy3zefmh8SUJK41lTMjOj67oh2BZY0o2PmGqX63Ul6TcqdcEYmyTMhhCVw84/s1600/23-tcp-10-16-22.jpg" imageanchor="1"><img border="0" height="117" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhYYzwKrg3KrFtluv7quTiznsOhoQKBLjPtCYFOI14G1BdTa3BQ22V2w25Ab4_IJBXM1yxWXH1rxpqKl6cYy3zefmh8SUJK41lTMjOj67oh2BZY0o2PmGqX63Ul6TcqdcEYmyTMhhCVw84/s400/23-tcp-10-16-22.jpg" width="400" /></a><br />
<br />
この増加は、オランダ(NL)発での突発的なスキャン数増加が原因です。22/tcp(SSH)では、午前6時台にルーマニア(RO)とロシア(RU)発のスキャンが活発化しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4PUicTG2muh9gqq378XnKRznHR1_6mQAggLuMlXYRwveq8CdfQt7ABMkmiklcqzsdQIoO8KMgplp6Zv-sd8iOXvNr79FdOK7iAcptSxASyAiZSfP3b7VLNfQpzqrMP7kk5x7jJ6NuLtM/s1600/22-tcp-10-16-22.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4PUicTG2muh9gqq378XnKRznHR1_6mQAggLuMlXYRwveq8CdfQt7ABMkmiklcqzsdQIoO8KMgplp6Zv-sd8iOXvNr79FdOK7iAcptSxASyAiZSfP3b7VLNfQpzqrMP7kk5x7jJ6NuLtM/s400/22-tcp-10-16-22.jpg" width="400" /></a><br />
<br />
1433/tcp(MS-SQL Server)ポートへのスキャン活動は中国を中心に、引き続き活発です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhI3NXg9Tx9QM_W8NWdyYTrk7ncd-6M-1sxRuAdnvB8pgEjsJnr_paQ7q1XFqhkH2wzxytiUmzhqriMWfACILaYqVlXrjqsXBBYWs4gEjWRsZ78ExHXktv56MmP7HlKANqWJpJvKF6aQ6E/s1600/1433-tcp-10-16-22.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhI3NXg9Tx9QM_W8NWdyYTrk7ncd-6M-1sxRuAdnvB8pgEjsJnr_paQ7q1XFqhkH2wzxytiUmzhqriMWfACILaYqVlXrjqsXBBYWs4gEjWRsZ78ExHXktv56MmP7HlKANqWJpJvKF6aQ6E/s400/1433-tcp-10-16-22.jpg" width="400" /></a><br />
<br />
Mirai系のIoTボットによると見られる5500/tcpへのスキャン活動が相対的に高まっています。活動の中心はオランダ(NL)とドイツ(DE)です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidMTMML35sxCrXA17Nu02qaYj5oFNtcJjRe1WkOJlsPwmPrYWgJ1M9vHyhaIfPRgEMNLP46UcGBElzoZB3jEWj9jIr7KrLF9BirwYLDfkyOKBYPOLlg_TxBHxeZ21zC8k78LWMulDiSdM/s1600/5500-tcp-10-16-22.jpg" imageanchor="1"><img border="0" height="111" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEidMTMML35sxCrXA17Nu02qaYj5oFNtcJjRe1WkOJlsPwmPrYWgJ1M9vHyhaIfPRgEMNLP46UcGBElzoZB3jEWj9jIr7KrLF9BirwYLDfkyOKBYPOLlg_TxBHxeZ21zC8k78LWMulDiSdM/s400/5500-tcp-10-16-22.jpg" width="400" /></a><br />
<br />
一昨日あたりから観測されていたWebサーバへのDoSライクなアクセス発生(イタリア割り当てIP:詐称の可能性あり)は終息していますが、53/tcp(DNS)へのアクセスは、本日お昼前後に米国発のものが一時的に増加しました。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5IpeCI3NfkJFS87kJWy2RkU2ijW6eTNHEERBW2eTnoXAfYq3yk7yTWVLiaKJyyzmKLM9zum0xVunJNVD5VSNyryQJFpPpvxV48MVMyK77aVrDhE2B1PF9OG_8fMD-mE9Yt-HC88lhvK8/s1600/Web-access-10-16-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEg5IpeCI3NfkJFS87kJWy2RkU2ijW6eTNHEERBW2eTnoXAfYq3yk7yTWVLiaKJyyzmKLM9zum0xVunJNVD5VSNyryQJFpPpvxV48MVMyK77aVrDhE2B1PF9OG_8fMD-mE9Yt-HC88lhvK8/s400/Web-access-10-16-22.jpg" width="400" /></a><br />
<br />
以上、本日の概況でした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0tag:blogger.com,1999:blog-4151832875645901742.post-79778506626524269272019-10-14T22:59:00.000+09:002019-10-14T22:59:21.592+09:00ポートスキャン概況(2019年10月14日)本日の概況です。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqhjFwKw1qOzg_KKowTLUXx2j1MTxS9gPu9LtF7WTeYmkIrPFiJeD0mgKAQojAzKZiiodlWg7vdA9aO_ugRZhRk1G42XcA6SkNbdudhXnXL5wPjpHpbwOSDjdRVNLBMHUqZhcY6K73MRE/s1600/overview-10-14-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhqhjFwKw1qOzg_KKowTLUXx2j1MTxS9gPu9LtF7WTeYmkIrPFiJeD0mgKAQojAzKZiiodlWg7vdA9aO_ugRZhRk1G42XcA6SkNbdudhXnXL5wPjpHpbwOSDjdRVNLBMHUqZhcY6K73MRE/s400/overview-10-14-22.jpg" width="400" /></a><br />
<br />
昨日、一時的にスキャン活動が落ち込んだものの、今日はまた通常の状態に戻っています。23/tcp(telnet) では、昨日あたりからバングラデシュを発信元とするものが観測されています。(下のオレンジ色の部分)<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2gZuWXOdyhMg3gsiQNuNhmRD9r9w4OWPgrn6FVCiDQdIoS7XHKUfaL3Uq0FDTrY-cDUjJAZVadueEPSztj_4WT4tt7htsZaX5hYbQMaUGH4ZL99fw2ccVeWui6SexVVs8Gx8osgySKTI/s1600/23-tcp-10-14-22.jpg" imageanchor="1"><img border="0" height="115" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj2gZuWXOdyhMg3gsiQNuNhmRD9r9w4OWPgrn6FVCiDQdIoS7XHKUfaL3Uq0FDTrY-cDUjJAZVadueEPSztj_4WT4tt7htsZaX5hYbQMaUGH4ZL99fw2ccVeWui6SexVVs8Gx8osgySKTI/s400/23-tcp-10-14-22.jpg" width="400" /></a><br />
<br />
1433/tcp(MS SQL Server)の活動も、引き続き中国を中心に高止まりが続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinHhrkEUX_XN4cjRiZxWK0aDgGfw1XmjVh44AR_MVrsrQLy_UTv2S0QijSgjlMeEvBfWltAZmxJ7gAEMjUjA6qW8TZrWaPSqku-6KlpV_3-ZZ-FSNY-yctdbFdYiYxEKSukM1Sm-FMYLM/s1600/1433-tcp-10-14-22.jpg" imageanchor="1"><img border="0" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEinHhrkEUX_XN4cjRiZxWK0aDgGfw1XmjVh44AR_MVrsrQLy_UTv2S0QijSgjlMeEvBfWltAZmxJ7gAEMjUjA6qW8TZrWaPSqku-6KlpV_3-ZZ-FSNY-yctdbFdYiYxEKSukM1Sm-FMYLM/s400/1433-tcp-10-14-22.jpg" width="400" /></a><br />
<br />
中国では、1433/tcpの活動が23/tcpを上回った状態が続いています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTXJmV6wO10KBJLbGQyG4yFGDu8GkcrbHC8YoHmwo7OUVXFAncmAqeiE_gfpxsPH0tTbHjqmPouP-hgrttMJQyBc5bunkjKlrEPACDAee9Js1K1Qnw_u5z42W6gKEdkkciMuYQ2XS64Xk/s1600/CN-10-14-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhTXJmV6wO10KBJLbGQyG4yFGDu8GkcrbHC8YoHmwo7OUVXFAncmAqeiE_gfpxsPH0tTbHjqmPouP-hgrttMJQyBc5bunkjKlrEPACDAee9Js1K1Qnw_u5z42W6gKEdkkciMuYQ2XS64Xk/s400/CN-10-14-22.jpg" width="400" /></a><br />
<br />
日本での活動レベルは相対的に低い状態ですが、1433/tcpの活動は引き続き観測されています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVIQAUeTW8_6JhAR3ggNP8CkyhghnBePjL0XJ5nYp1nS8ehGPo19GBhDn0Sjl2OMRHDCcUHfeY7IMWrNddESKp3WfLU0IXqzmtrwVQXxXiBjKtu3fpRln-6MJxRyqyQ94brjPf5h_twh0/s1600/JP-10-14-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgVIQAUeTW8_6JhAR3ggNP8CkyhghnBePjL0XJ5nYp1nS8ehGPo19GBhDn0Sjl2OMRHDCcUHfeY7IMWrNddESKp3WfLU0IXqzmtrwVQXxXiBjKtu3fpRln-6MJxRyqyQ94brjPf5h_twh0/s400/JP-10-14-22.jpg" width="400" /></a><br />
<br />
また、時系列で見ると、日本でのスキャン活動は深夜から早朝の時間帯に低下しているように見え、これは、常時稼働しているサーバなどよりも、この時間帯に停止しているPC等に感染したマルウエアの活動との見方も出来ます。<br />
<br />
観測対象のWebサーバへのDoSライクなパケット着信は、また活発化しています。<br />
<br />
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6rUjT5uXA2bKW9lWM6l_5T1oSHBRuvLYVfPSSCp6PeAlyaMaXBdS41KatIpWQHQiHRMgs5mnkm1Thw5cQYq4nJ7msVpM1mtj29zvC7Iq7GVs1jX5HITaFZBPm_pnCKlZkJ3ko1KvJTVw/s1600/Web-access-10-14-22.jpg" imageanchor="1"><img border="0" height="225" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi6rUjT5uXA2bKW9lWM6l_5T1oSHBRuvLYVfPSSCp6PeAlyaMaXBdS41KatIpWQHQiHRMgs5mnkm1Thw5cQYq4nJ7msVpM1mtj29zvC7Iq7GVs1jX5HITaFZBPm_pnCKlZkJ3ko1KvJTVw/s400/Web-access-10-14-22.jpg" width="400" /></a><br />
<br />
平均すれば、毎秒1~2パケットの着信で、DoSとしては貧弱なものですが、受けている側からすれば、あまり気持ちのいいものではありません。<br />
<br />
以上、本日の状況でした。FUTAGI, Masaakihttp://www.blogger.com/profile/04502176798200781119noreply@blogger.com0