韓国IP発の123/udpは韓国を対象としたDDoS攻撃のリフレクションである可能性も考えられます。
1433/tcpについては、中国に加えインド発でも活発化がみられます。
米国発では、このところ広範囲のポートへのスキャンが活発化しています。
以上、概況でした。
2019年12月27日金曜日
ポートスキャン概況(2019年12月27日)
年末のドタバタやあれこれでレポートをサボってしまいました。昨日から韓国割り当てのIPを発信元とした123/udp(NTP)の大量着信を観測しています。また、1433/tcp(MS SQL Server)の活動は中国を中心に活発な状態が続いています。また、エジプト発の80/tcpの活動が増加しています。
韓国IP発の123/udpは韓国を対象としたDDoS攻撃のリフレクションである可能性も考えられます。
1433/tcpについては、中国に加えインド発でも活発化がみられます。
米国発では、このところ広範囲のポートへのスキャンが活発化しています。
以上、概況でした。
韓国IP発の123/udpは韓国を対象としたDDoS攻撃のリフレクションである可能性も考えられます。
1433/tcpについては、中国に加えインド発でも活発化がみられます。
米国発では、このところ広範囲のポートへのスキャンが活発化しています。
以上、概況でした。
2019年12月19日木曜日
ポートスキャン概況(2019年12月18日)
今日は午後4時から5時台にかけて、123/udpの大量着信を観測しました。
ソースIPは韓国割り当てのもので、韓国経由のAmp攻撃もしくは、韓国のIPをターゲットにした攻撃の可能性があります。
国別では、エストニア(EE)発で広範囲のポートスキャンの一時的な活発化を観測しました。
インドネシア発では、445/tcpの活動が昼の時間帯に活性化しているように見えます。昼間に稼働しているPC等のマルウエア感染によるものの可能性が考えられます。
ロシア発では、広範囲のポートへのスキャンが恒常的に発生していますが、本日未明から朝にかけて活発化が見られました。
以上、本日の概況でした。
ソースIPは韓国割り当てのもので、韓国経由のAmp攻撃もしくは、韓国のIPをターゲットにした攻撃の可能性があります。
国別では、エストニア(EE)発で広範囲のポートスキャンの一時的な活発化を観測しました。
インドネシア発では、445/tcpの活動が昼の時間帯に活性化しているように見えます。昼間に稼働しているPC等のマルウエア感染によるものの可能性が考えられます。
ロシア発では、広範囲のポートへのスキャンが恒常的に発生していますが、本日未明から朝にかけて活発化が見られました。
以上、本日の概況でした。
2019年12月17日火曜日
ポートスキャン概況(2019年12月17日)
本日も引き続き、23/tcp、1433/tcp、445/tcpの活動が活発でした。
23/tcpでは、オランダ、台湾、中国、カナダなどで一時的な活発化が見られました。
日本発のスキャンでは、65229/tcpと3389/tcpの一時的な増加を観測しています。いずれもマルウエア感染等による活動が疑われます。
以上、本日の概況でした。
23/tcpでは、オランダ、台湾、中国、カナダなどで一時的な活発化が見られました。
日本発のスキャンでは、65229/tcpと3389/tcpの一時的な増加を観測しています。いずれもマルウエア感染等による活動が疑われます。
以上、本日の概況でした。
2019年12月16日月曜日
ポートスキャン概況(2019年12月16日)
年末の多忙にかまけてレポートをしばらくサボってしまいました。このところの状況としては、23/tcp, 1433/tcp, 445/tcpが相対的に活発です。
23/tcpでは、従来から活発な米国、中国などに加えて、ブラジルでも数は相対的に少ないですが、コンスタントな活動が観測されています。また、オランダで昨日、一時的に活発化したのに加え、今日は早朝から午前中にかけて、タンザニア(TZ)発のスキャンの活発化を観測しました。
国別では、インドで23/tcp、139/tcp、445/tcp、1433/tcpなどが散発的に活発化しています。
日本発の活動は相対的に少ないですが、23/tcpの活動が僅かながら継続しているほか、22/tcp、445/tcp、1433/tcpなどの活動も時折活発化します。
とりわけ1433/tcpのスキャンは以前より頻繁に観測されるようになっており、世界的な活性化とも関連してちょっと気になります。
今月は本業?でバタバタしているため、レポートの頻度が下がってしまいますが、特筆すべき状況についてはできるだけレポートしたいと考えています。
23/tcpでは、従来から活発な米国、中国などに加えて、ブラジルでも数は相対的に少ないですが、コンスタントな活動が観測されています。また、オランダで昨日、一時的に活発化したのに加え、今日は早朝から午前中にかけて、タンザニア(TZ)発のスキャンの活発化を観測しました。
国別では、インドで23/tcp、139/tcp、445/tcp、1433/tcpなどが散発的に活発化しています。
日本発の活動は相対的に少ないですが、23/tcpの活動が僅かながら継続しているほか、22/tcp、445/tcp、1433/tcpなどの活動も時折活発化します。
とりわけ1433/tcpのスキャンは以前より頻繁に観測されるようになっており、世界的な活性化とも関連してちょっと気になります。
今月は本業?でバタバタしているため、レポートの頻度が下がってしまいますが、特筆すべき状況についてはできるだけレポートしたいと考えています。
2019年12月6日金曜日
ポートスキャン概況(2019年12月5日)
本日の概況です。お昼から午後にかけて、中国IPを発信元とする123/udp(ntp)パケットの増加を観測しています。
これは、中国のIPアドレスをターゲットとしたDoS(Amp)攻撃の試行とも考えられます。
米国とブラジル発では、23/tcpが一時的に活発化しました。
ブラジル発では、引き続き26/tcpの活動も活発です。ロシア発では、未明から午前中にかけて広範囲のポートへのスキャン活動が活発化しました。
以上、本日の概況でした。
これは、中国のIPアドレスをターゲットとしたDoS(Amp)攻撃の試行とも考えられます。
米国とブラジル発では、23/tcpが一時的に活発化しました。
ブラジル発では、引き続き26/tcpの活動も活発です。ロシア発では、未明から午前中にかけて広範囲のポートへのスキャン活動が活発化しました。
以上、本日の概況でした。
2019年12月5日木曜日
ポートスキャン概況(2019年12月4日)
本日の概況です。
23/tcpは未明から朝にかけて、中国発で活発でした。
1433/tcpの活動は引き続き中国発を中心に、広い地域で活発な状態が続いています。
国別では、ブラジルで引き続き26/tcpの活動が活発です。この国では23/tcpと同じくらいのレベルにあります。
日本発では、お昼頃から午後にかけて、445/tcpや1433/tcpの活動が相対的に活発化しました。
以上、本日の概況でした。
23/tcpは未明から朝にかけて、中国発で活発でした。
1433/tcpの活動は引き続き中国発を中心に、広い地域で活発な状態が続いています。
国別では、ブラジルで引き続き26/tcpの活動が活発です。この国では23/tcpと同じくらいのレベルにあります。
日本発では、お昼頃から午後にかけて、445/tcpや1433/tcpの活動が相対的に活発化しました。
以上、本日の概況でした。
2019年12月4日水曜日
ポートスキャン概況(2019年12月3日)
本日の概況です。活動の上位は常連の23/tcp、445/tcp、1433/tcp、そして26/tcpと8545/tcpが順位を上げています。
26/tcpのターゲットは不明ですが、最も活発なブラジル発で見ると、一部23/tcpの活動と相関があるようにも見られるので、IoT系の活動である可能性も考えられます。
一方、同様に順位を上げつつある8545/tcpは、仮想通貨イーサリアムで使用されているポートで、フランス発の活動が活発です。
以上、本日の概況でした。
26/tcpのターゲットは不明ですが、最も活発なブラジル発で見ると、一部23/tcpの活動と相関があるようにも見られるので、IoT系の活動である可能性も考えられます。
一方、同様に順位を上げつつある8545/tcpは、仮想通貨イーサリアムで使用されているポートで、フランス発の活動が活発です。
以上、本日の概況でした。
2019年12月1日日曜日
ポートスキャン概況(2019年12月1日)
ちょっと多忙だったため、10日以上レポートをサボってしまいました。今年もはや12月。本日の概況です。このところの傾向として、26/tcpへのスキャンが活発化しつつあります。これが何を狙った物かは不明ですが、現在、ランキングで4位まで上がってきています。
今日は23/tcpの活動が普段より活発でした。中国発の活動が高まったほか、米国発のスキャンが大量に着信した時間帯がありました。
国別で、中国発では午前0時台に広範囲なポートへのスキャンを観測しました。意図的なスキャン活動と考えられます。また、中国でも26/tcpの活動が観測されています。
ブラジル発では、23/tcp,26/tcpの活動が活発です。当初、26/tcpの活動はブラジル中心でしたが、このところ、中国、タイで活発化しているほか、アジア各地でも活動が見られるようになっています。
以上、本日の概況でした。
今日は23/tcpの活動が普段より活発でした。中国発の活動が高まったほか、米国発のスキャンが大量に着信した時間帯がありました。
国別で、中国発では午前0時台に広範囲なポートへのスキャンを観測しました。意図的なスキャン活動と考えられます。また、中国でも26/tcpの活動が観測されています。
ブラジル発では、23/tcp,26/tcpの活動が活発です。当初、26/tcpの活動はブラジル中心でしたが、このところ、中国、タイで活発化しているほか、アジア各地でも活動が見られるようになっています。
以上、本日の概況でした。
2019年11月20日水曜日
ポートスキャン概況(2019年11月19日)
本日の概況です。午後9時頃からロシア発で5555/tcpの急増が観測されています。
上の概要ページでは、先日の23/tcpバーストの影響で判別しにくいですが、ポート別、国別で見ると極端に増加していることがわかります。5555/tcpはAndroidのデバッグ機能であるADBのポートで、組み込み機器などでデバッグ機能が有効になってしまっているものを対象にしたスキャンと考えられますが、大量発生はこうしたボットの新種拡散が原因とも考えられます。
米国での広範囲のポートスキャンは漸増傾向にあり、特に、IoT系ボットが狙うようなポートへのスキャンが増加しているようです。ボット活動の影響とも考えられます。
こうした傾向は引き続き注視していく必要がありそうです。
上の概要ページでは、先日の23/tcpバーストの影響で判別しにくいですが、ポート別、国別で見ると極端に増加していることがわかります。5555/tcpはAndroidのデバッグ機能であるADBのポートで、組み込み機器などでデバッグ機能が有効になってしまっているものを対象にしたスキャンと考えられますが、大量発生はこうしたボットの新種拡散が原因とも考えられます。
米国での広範囲のポートスキャンは漸増傾向にあり、特に、IoT系ボットが狙うようなポートへのスキャンが増加しているようです。ボット活動の影響とも考えられます。
こうした傾向は引き続き注視していく必要がありそうです。
2019年11月18日月曜日
ポートスキャン概況(2019年11月18日)
本日の概況です。午前11時台にカナダIPから23/tcpの大量着信を観測しました。
この着信は、発信元、宛先ともに単一のIPで、ポートスキャンというよりはDoSに近いものでした。
139/tcp,445/tcpのWindosポート宛てでは、インドネシアとベトナムで未明と午前に活発化が見られました。445/tcpは全般的に活発な状況が続いています。
1433/tcpの活動は引き続き中国を中心に広い地域で観測されています。少ないながら日本発も観測されています。また、9001/tcpで昨日深夜から今朝にかけて活発化が見られました。発信元はブラジル、中国、タイ、フィリピン、インドなど南米とアジアが中心です。
60001/tcpでは、米国発の活動が午後に活発化しました。
国別集計でインド、インドネシア、ブラジルなどを追加しました。インドでは、23/tcpに加え、445/tcpの活動が活発化しています。また、1433/tcpの活動も散発的に発生しています。
インドネシアでも、445/tcpと139/tcpが活発化しています。ここ数日、アジア各地で見られている活発化と同じような傾向です。
ブラジルの発の活動は特徴的です。23/tcpに加え、26/tcp, 9000/tcp, 9001/tcpといったポートでの活動が活発で、IoTボット関連の活動レベルが高いと考えられます。昨夜から本日午前中にかけてピークがあり、夜にかけてまた活発化し始めていますが、日本から見て昼夜真逆の時間帯なので、昼間の活発化とみることもできます。
国別に見ると、それぞれ異なる特徴があります。
この着信は、発信元、宛先ともに単一のIPで、ポートスキャンというよりはDoSに近いものでした。
139/tcp,445/tcpのWindosポート宛てでは、インドネシアとベトナムで未明と午前に活発化が見られました。445/tcpは全般的に活発な状況が続いています。
1433/tcpの活動は引き続き中国を中心に広い地域で観測されています。少ないながら日本発も観測されています。また、9001/tcpで昨日深夜から今朝にかけて活発化が見られました。発信元はブラジル、中国、タイ、フィリピン、インドなど南米とアジアが中心です。
60001/tcpでは、米国発の活動が午後に活発化しました。
国別集計でインド、インドネシア、ブラジルなどを追加しました。インドでは、23/tcpに加え、445/tcpの活動が活発化しています。また、1433/tcpの活動も散発的に発生しています。
インドネシアでも、445/tcpと139/tcpが活発化しています。ここ数日、アジア各地で見られている活発化と同じような傾向です。
ブラジルの発の活動は特徴的です。23/tcpに加え、26/tcp, 9000/tcp, 9001/tcpといったポートでの活動が活発で、IoTボット関連の活動レベルが高いと考えられます。昨夜から本日午前中にかけてピークがあり、夜にかけてまた活発化し始めていますが、日本から見て昼夜真逆の時間帯なので、昼間の活発化とみることもできます。
国別に見ると、それぞれ異なる特徴があります。
2019年11月17日日曜日
ポートスキャン概況(2019年11月16日)
本日の概況です。午前中に139/tcp, 445/tcpの活動が活発化しています。23/tcpでは、米国で一時的に活発化した時間帯がありました。
139/tcp, 445/tcp活動の主体は中国(CN)とセーシェル(SC)ですが、アジア周辺でも多少活発化がみられます。
一方、日本国内では昨日、今日と1433/tcpの活動が高まった時間帯がありました。また、今日は445/tcpや137/udpといったWindows系のポートへの活動も見られます。
先の139,445/tcpの活動との関連は不明ですが、マルウエア等の可能性もあり、週明けの内部持ち込み可能性には留意が必要かもしれません。
このところ、様々な活動が少し活発化しているようにも見えます。引き続き注視したいところです。
139/tcp, 445/tcp活動の主体は中国(CN)とセーシェル(SC)ですが、アジア周辺でも多少活発化がみられます。
一方、日本国内では昨日、今日と1433/tcpの活動が高まった時間帯がありました。また、今日は445/tcpや137/udpといったWindows系のポートへの活動も見られます。
先の139,445/tcpの活動との関連は不明ですが、マルウエア等の可能性もあり、週明けの内部持ち込み可能性には留意が必要かもしれません。
このところ、様々な活動が少し活発化しているようにも見えます。引き続き注視したいところです。
2019年11月14日木曜日
ポートスキャン概況(2019年11月14日)
本日の概況です。今日も23/tcpの活動は活発です。
中国方面からの活動は小康状態になっていますが、フランスからの突発的な大量着信が今日も発生しています。
5500/tcp(Mirai系ボットの活動と思われる)の活動が米国発で間欠的に活発化しているほか、5500/tcp (Android ADBポート)へのスキャン活動も、特定の地域発のバーストが観測されています。今日は午前中にオランダ(NL)発でバースト的な着信を観測しました。
こうした傾向は引き続き注視していく必要がありそうです。
中国方面からの活動は小康状態になっていますが、フランスからの突発的な大量着信が今日も発生しています。
5500/tcp(Mirai系ボットの活動と思われる)の活動が米国発で間欠的に活発化しているほか、5500/tcp (Android ADBポート)へのスキャン活動も、特定の地域発のバーストが観測されています。今日は午前中にオランダ(NL)発でバースト的な着信を観測しました。
こうした傾向は引き続き注視していく必要がありそうです。
登録:
投稿 (Atom)