ポートスキャン概況（2019年7月29日）

今日のポートスキャン概況は以下のような感じです。あいかわらず、23/tcpを筆頭に、いわゆるIoTマルウエアの活動に関連したポートへのスキャンが上位を占めています。また、Windows関連では、445/tcp（SMB）へのスキャンが高止まりしています。


23/tcp（telnet）へのスキャンでは、18時台にナイジェリア発のスキャンが活発化しました。


8291/tcp（MikroTik 製のRouterOS対象のスキャン）では、あいかわらず、ネパール発が中心ですが、14時台にタイ、19時台にインド発のものが増加しています。



Windows系対象のスキャンでは、SMB以外に、RDPを対象としたスキャンで、14時頃に中国発のものが若干活発化しました。



以上、今日の状況です。

ポートスキャン概況（2019年7月27日）

昨日辺りから本日にかけての概況です。

 午前９時台に米国で23/tcpの活動が活発化しました。台湾発の37215/tcp（HUAWEIルータを標的としたスキャン）は漸減していますが、引き続き活動が続いています。

米国での53413/udp（Netis/Netcoreルータ標的のスキャン）の活動も引き続き活発です。Realtek SDKの脆弱性を持つWiFiルータを狙ったスキャンは、ここ２日ほど米国で活発化しています。

 Windowsを対象とした445/tcp（SMB）に対するスキャンも地域を問わず高止まりしている状況です。

スキャンの活発化はこうした対象への攻撃を行うマルウエアの活動（感染活動やボット活動）と相関した動きと考えられるでしょう。

ポートスキャン概況（2019年7月25日）

今日の概況はこんな感じです。時系列の表示を変更して左から最新順としました。（スクロールして見なくて済むので・・・）


全体的に見て極端な変化はありませんが、米国で53413/udp関連の活動が多少活発化しています。これは中国メーカーNetcore（海外向けブランド Netis）のルータにある脆弱性を狙ったもので、ホームルータに感染したマルウエアの活動とみられるものです。



WindowsのNetbios, SMBへのスキャンも多少活発になっているようですが、通常の変動から大きくかけ離れたものとは言えないでしょう。

ポートスキャン概況（2019年7月23日～24日AM）

昨日から本日午前にかけて、目立った変化はありません。



ただ、一昨日の夜から昨日未明にかけて、観測を行っているIPアドレスのひとつで公開されているWebサイトに対し、隣国方面からSYN-FloodによるDoS攻撃を観測しました。攻撃の背景は定かではありませんが、政治的な意図による日本向けの攻撃の可能性もあり、注意が必要でしょう。

IoT関連でのスキャンでは、23/tcp (telnet)ポート探索が多く見られます。また、台湾発の37215/tcpスキャン（HUAEWIルータの脆弱性探索）は漸減傾向にありますが、まだ多い状態が継続しています。



ルータ遠隔操作プロトコル（CWMP）を狙った7547/tcpでは、あいかわらずネパール（NP）発のものがほとんどです。Mikrotik社製ルータの脆弱性を狙った8291/tcpではネパールに加え、インドネシア（ID）発のものが昨日から今日にかけて3回ほど増加しました。



Windowsを対象としたスキャンでは、RDP（3389/tcp）を狙ったものが地域を問わず多くなっています。


これらの一部は、マルウエア（ランサムウエア）によるものと考えられ、安易なパスワードなどが設定されていた場合、ランサムウエアを感染させられてしまう危険があります。

また、netbios, SMBなどのサービスへのスキャンも継続的に発生しています。



最近では、これらのスキャン活動の多くがマルウエアの活動と紐付いています。スキャン活動の活発化は、マルウエアの流行と相関する場合もあるため、インターネットから直接アクセス出来ない内部ネットワークにおいても、マルウエア感染リスクを考える上での指標となる可能性があります。

JPCERT/CCから、「攻撃を目的としたスキャンに備えて 2019年7月」が公開されていますので、参考にしてみてください。

ポートスキャン概況（2019年7月22日）

本日午後6時現在、状況に大きな変化は見られません。



昨日も書いていますが、発信元の地域によって発生するスキャンに大きな偏りが出ることがあります。最近では、台湾（TW）からのスキャンは、大半が37215/tcpつまり、
HUAWEIルータの脆弱性を狙ったと考えられるものです。これはその地域に、この種のマルウエア感染が多発している可能性を示します。一方、エストニアからのスキャンでは、5038/tcp、5060/udpといったVoIP, SIP関連のポートを狙ったものが多くなっています。これもまた、こうした機器を狙うマルウエアに感染した機器の存在を示唆します。ネパールは、23/tcp、7547/tcp、8291/tcpといった、IoT機器やルータ狙いのスキャンが非常に多くなっていて、MiraiやHajimeといったIoT系マルウエアの活動が活発であることを示唆しています。

近年、マルウエアの多くが、いわゆるボットなど遠隔操作型のものとなっており、通常の感染拡大のためのワーム活動に加え、指令によりポートスキャンや攻撃が実行される可能性も高いと言えます。時折、特定のポートへのバースト的なスキャンが発生するのも、特定のマルウエアの流行による感染活動に加え、こうした意図的なスキャンが行われている可能性も示唆します。

ポートスキャン概況（2019年7月21日）

ブログに書くネタもなかったのでずいぶん長い間サボってしまいました。最近、契約している複数のISP回線で、ポートスキャンの観測を始めました。仕組みは単純で、ファイアウォールで拒否されている外部からの通信ログをリアルタイムにデータベースに読み込み、その集計ビューをマイクロソフトのPower BIを使って可視化しています。IPの国別情報などについては、各NICで公開されている割り当て情報を使って判別しています。

観測しているのは、主にIoT系マルウエアに関連するポートや、Windows関連のポートなどです。使っているIPアドレスは、某ビジネスISPからの/29セグメント、コンシューマ向けISPの固定IP２個とダイナミックIP１個で、いずれも異なるレンジの物です。

とりあえず、全体はこんな感じのダッシュボードにまとめています。

１時間単位のイベント数とポート比率を積み上げグラフ化したものや、国ごとにポート番号別の頻度を積み上げたもの、ポート別のランキングなどをまとめています。ポート別では、あいかわらずtelnet(23/tcp）がトップで、依然としてMiraiなどのマルウエアに感染した機器が多いことが伺えます。２番目に445/tcpが来ているのは、Windows系のマルウエア等による脆弱なホスト探索でしょう。以下、上位にはやはりIoTマルウエアが狙うポートが並んでいます。

ポート別では、telnet（23/tcp）で、未明に米国（US）、朝６時台に中国（CN）からのスキャン増加が見られました。

ポート37215/tcpはHUAWEI製ルータの脆弱性を狙ったマルウエアのスキャンとみられますが、今日の午前から台湾（TW）発のスキャンが急増しています。このポートのスキャンでは、以前から台湾発が大半を占めており、発信元は、台湾最大のISPであるhinetがダイナミックに利用者に割り当てているIPがほとんどで、IP数にして8300個あまりを観測しています。

IoTマルウエアに関する通信としては、ルータの遠隔操作プロトコルCWMPを狙った7547/tcpやラトビアのMikrotik社製ルータの脆弱性を狙った8291/tcpへのスキャンも観測しています。これらの大半はネパール（NP）が発信元となっています。

また、中国 Netcore（海外向けブランドはNetis）製ルータの脆弱性を狙ったとみられる53413/udpや、Realtek SDKが組み込まれたWiFiルータの脆弱性を狙った52869/tcpなどへのスキャンも観測しています。前者はオランダ（NL）発信元のものが大半を占めます。後者については米国(US）発が中心でしたが、数日前からオランダ（NL）発のものが急増しています。

そんな感じで、こうして時系列で見ていると興味深い傾向も見えてきます。今後データがたまったら、あれこれ統計的な分析もしてみようと思っています。