23/tcpは11時台に米国、14時台に中国で活発化しています。
22/tcp(SSH)は9時台に欧州方面(ベルギー、英国、ルーマニアなど)で活発化が見られました。3389/tcp(RDP)は、引き続きロシアがでの活動が活発ですが、今日は韓国や中国、ベトナムなどでも活動が見られました。
Windows系サービス対象のスキャンでは、139/tcp(netbios)の活動が、7時台の中国で活発化しました。11時台にはトルコでも若干活発化しています。445/tcp(SMB)の活動は引き続き幅広い地域で活発となっています。
このところ下火だった53413/udp(netis/netcoreルータの脆弱性狙い)の活動が、米国で活発化しました。60001/tcpポート(IoT製品のサービスを狙ったもの)の活動は、このところ漸減傾向でしたが、昨日から今日にかけて米国方面で活発化の傾向が見られました。IoTマルウエアの活動が活発化している可能性があります。
国・地域別では、中国で先に述べた23/tcpの活動が顕著でした。韓国においても23/tcpが活発化した時間帯があります。また、時々RDPに対する活動も観測されています。
香港では、16時台に6379/tcp(Radius)や関連ポートを宛先とした活動が高まりました。台湾では、引き続き23/tcpの活動が活発です。
米国では、先に述べた23/tcpの顕著な活動が見られました。ロシアでは、引き続きRDPを狙ったとみられる3389/tcpやその周辺、下位桁が3389のハイポートなどへのスキャンが活発です。また、今日は10時頃に22/tcpの活動が活発化しました。その他、主要なサービスやその周辺をスキャンするような活動が続いています。
今日は、日本発のスキャンも調べて見ました。
驚いたのは、昨日の午後4時台までとそれ以降の状況が大きく異なることです。雑多のポートに来ていたスキャンがなくなり、(ノイズがなくなって)23/tcpへのスキャンが目立つようになっています。不具合を疑って調べて見たところ、7日の午前10時頃から9日の午後4時台までの間、特定の(複数の)IPから非常に多数のポートに対して継続的なスキャンがあったことが判明しました。発信元のIPを調べたところ、ICT-ISACが使用しているIPアドレスであることがわかりました。一昨年あたりから、脆弱なIoTデバイスを調べるための大規模なスキャンを行っているようで、たまたまそれを検知したようです。ただ、調査のためのスキャンにしては、2日半にわたって20000回以上、250種以上のポートに対して複数回のスキャンがあるなど、ちょっとお行儀が悪いように思えます。こうした活動は必要と考えますが、その方法や頻度については改善が望まれるところです。
以上、今日の概況でした。
なお、ここに書いている事項は、限られた範囲での観測を元にしており、必ずしも一般的な状況でない可能性があります。一方で、広範囲の観測では平均化されて埋もれてしまうような事象が見えてくる可能性もあります。
0 件のコメント:
コメントを投稿