ただ、一昨日の夜から昨日未明にかけて、観測を行っているIPアドレスのひとつで公開されているWebサイトに対し、隣国方面からSYN-FloodによるDoS攻撃を観測しました。攻撃の背景は定かではありませんが、政治的な意図による日本向けの攻撃の可能性もあり、注意が必要でしょう。
IoT関連でのスキャンでは、23/tcp (telnet)ポート探索が多く見られます。また、台湾発の37215/tcpスキャン(HUAEWIルータの脆弱性探索)は漸減傾向にありますが、まだ多い状態が継続しています。
ルータ遠隔操作プロトコル(CWMP)を狙った7547/tcpでは、あいかわらずネパール(NP)発のものがほとんどです。Mikrotik社製ルータの脆弱性を狙った8291/tcpではネパールに加え、インドネシア(ID)発のものが昨日から今日にかけて3回ほど増加しました。
Windowsを対象としたスキャンでは、RDP(3389/tcp)を狙ったものが地域を問わず多くなっています。
これらの一部は、マルウエア(ランサムウエア)によるものと考えられ、安易なパスワードなどが設定されていた場合、ランサムウエアを感染させられてしまう危険があります。
また、netbios, SMBなどのサービスへのスキャンも継続的に発生しています。
最近では、これらのスキャン活動の多くがマルウエアの活動と紐付いています。スキャン活動の活発化は、マルウエアの流行と相関する場合もあるため、インターネットから直接アクセス出来ない内部ネットワークにおいても、マルウエア感染リスクを考える上での指標となる可能性があります。
JPCERT/CCから、「攻撃を目的としたスキャンに備えて 2019年7月」が公開されていますので、参考にしてみてください。
0 件のコメント:
コメントを投稿