全体として特筆すべき大きな変化は見られませんでした。今日は、スキャン元の国・地域別のレポートを改良して、時系列分布とポート別分布(3日間の集計)の両方を表示するようにしてみました。ポート別分布は地域によってかなり異なります。
スキャン発生数上位を占める、中国、米国、ロシアの3地域は、広範なポートに対するスキャンが検出されています。中国は昨日と本日、こうした活動が高まる時間帯がありました。下のポート分布のグラフは縦軸(観測数)を対数軸にとっています。広範囲のスキャンは10回以下の回数が多く、少数ののスキャン元から実行されているようです。
これらはマルウエアよりも人為的なスキャン活動の可能性もあるでしょう。10000番未満のポートへのスキャンは特に、密に行われているように見えますが、これは既知のサービスの密度が高く、スキャンがその周辺を中心に行われていることを示唆していると思われます。米国についても類似の傾向が見られます。
ロシアについては、上位ポートについても密にスキャンが発生していますが、その多くは10回未満です。これも人為的な広範囲のスキャン活動が疑われます。
このような広範囲のスキャンでは、サービスポートを標準ポートから変更していたとしても、探索にかかる可能性があり、注意が必要です。実際、変更されたポートを含めて探索する意図があるものと思われ、将来的な攻撃の対象とされる可能性が懸念されます。
一方、それ以外の地域では、特定のサービスポートにフォーカスしたスキャンが中心となっていて、様相は大きく異なります。韓国、香港、台湾、ベトナム、ネパールの順に見てみます。
これらの国々からのスキャン活動は、特定のサービスをピンポイントに狙ったものが多く、その多くがマルウエアによるスキャン活動と推測されます。とりわけネパールでは、IoT系ボットとみられる活動が大部分を占めているようです。
で、我が国はというと、全体的に頻度は低いものの、定常的に広範囲のスキャンが見られるようになっています。(このグラフからは、NICTやICT-ISACなど調査のためのスキャン活動を除外しています)3日間集計で多くが4回未満の頻度ですが、ある程度時間をかけて広い範囲をスキャンしているように見えます。まだ発信元の分析は行っていませんが、これも人為的なものである可能性が高いと思われます。
このように、地域別で見ると明らかにパターンが異なります。今後、ヨーロッパや南米方面などについても分析していく予定です。
0 件のコメント:
コメントを投稿