本日は5500/tcpで英国(GB)発の活動が活発化しました。
英国発では、少ないながら、60001/tcpでも活動が見られています。Mirai系のIoTマルウエアの活動が活発化した可能性があります。
1433/tcp(MS SQLサーバ)へのスキャン活動は引き続き中国発などを中心に、相対的に高い状態が続いています。
国別では、中国発で広範なポートへのスキャンが活発化した時間帯がありました。
日本発では、一昨日頃から、またICT-ISACによるスキャンを観測しています。今回のスキャンは昨日午後4時台で終了しています。
この活動で、他のスキャンが埋もれてしまうため、以降、当該IPからのスキャンを観測から除外することとしました。除外すると、以下のような状態になります。移動平均線は既に計算済みのデータのため、二日間はリセットされません。
これを見ると、日本発でも広範なポートへのスキャンが発生している傾向が出ています。時間単位のイベント数が2以上のポートを対象にして表示していますが、積み上げグラフの制限を超えていて、すべては表示できていません。また、大多数のポートへのスキャン回数は1時間当たり4回以下のようです。少数のホストから広範なスキャンが行われているものと思われます。米国発などでも同様の傾向が見られており、なんらかのマルウエアによる活動とも考えられます。
以上、今日の概況でした。
0 件のコメント:
コメントを投稿