2019年10月26日土曜日
しばらくお休みします
現在、米国に出張しておりますが、日本にある機材の一部に不具合が生じているため、ポートスキャンのレポートはしばらく休止します。11月に帰国後復旧しますが、データの欠落が生じることから、完全復旧にはしばらくかかる見通しです。
2019年10月23日水曜日
ポートスキャン概況(2019年10月22日)
本日の概況です。
今朝5時台に、米国発でSMTP(S)関連ポート(25,465,587/tcp)を狙ったスキャンが多数発生しました。
23/tcpでは、エストニア発のバーストは終息し、引き続き米国、中国、カナダなどでの活動が活発です。
このうちカナダでは、23/tcpの活動が大半を占めています。
1433/tcpの活動は引き続き中国を中心に高い状態が続いており、ここ数日活発だった9001/tcpの活動は終息に向かいつつあります。
新たに、エストニアとオランダについて国別の集計を作って見ました。エストニア発では幅広いポートへのスキャン活動が見られます。時折集中的なスキャン活動もあるようです。
オランダ発では非常に多数の連続的なポート範囲への着信が観測されていますが、これらはIP詐称によるリフレクションの可能性もありそうです。積み上げグラフの限界を超えるため、下の時系列グラフでは時間当たりのイベント数が10を越えるポートのみ表示しています。特徴的なのは、3306/tcp(MySQLポート)へのスキャンが特に活発なことでしょう。
WebサーバへのDoSライクな着信は引き続き間欠的に続いていて、本日の夕方以降、現在まだ継続中です。このところ使われているのはイタリア割り当てのIPアドレスです。53/tcp(DNS tcpポート)への着信も米国発主体に多い状態が続いています。
以上、本日の概況でした。
今朝5時台に、米国発でSMTP(S)関連ポート(25,465,587/tcp)を狙ったスキャンが多数発生しました。
23/tcpでは、エストニア発のバーストは終息し、引き続き米国、中国、カナダなどでの活動が活発です。
このうちカナダでは、23/tcpの活動が大半を占めています。
1433/tcpの活動は引き続き中国を中心に高い状態が続いており、ここ数日活発だった9001/tcpの活動は終息に向かいつつあります。
新たに、エストニアとオランダについて国別の集計を作って見ました。エストニア発では幅広いポートへのスキャン活動が見られます。時折集中的なスキャン活動もあるようです。
オランダ発では非常に多数の連続的なポート範囲への着信が観測されていますが、これらはIP詐称によるリフレクションの可能性もありそうです。積み上げグラフの限界を超えるため、下の時系列グラフでは時間当たりのイベント数が10を越えるポートのみ表示しています。特徴的なのは、3306/tcp(MySQLポート)へのスキャンが特に活発なことでしょう。
WebサーバへのDoSライクな着信は引き続き間欠的に続いていて、本日の夕方以降、現在まだ継続中です。このところ使われているのはイタリア割り当てのIPアドレスです。53/tcp(DNS tcpポート)への着信も米国発主体に多い状態が続いています。
以上、本日の概況でした。
2019年10月22日火曜日
ポートスキャン概況(2019年10月21日)
数日、多忙のためレポートを書けませんでした。本日を含め、ここ数日の概況です。
大きな動きとしては、9001/tcpへのスキャンが、台湾(TW)を中心に、ロシア、ベトナム、ブラジル、韓国といった国を発信元として活性化している点です。全体のランキングでも4位に浮上しています。
このポートはTorのリレーポートとして知られていますが、他にも使われているため実際の目的は今のところ不明です。ただ、傾向から見てなんらかのマルウエア活動の可能性が高いと考えられるため、注視が必要でしょう。
23/tcp(telnet)も引き続き活発ですが、こちらは間欠的にエストニア(EE)からの活動の活発化が観測されています。
1433/tcp(MS SQLサーバポート)の活動も引き続き中国発を中心に高止まりしています。
発信元の多くがISPのダイナミック割り当てアドレスとみられることから、発信元の主体は、なんらかのマルウエアに感染したPCである可能性が高いと考えられます。検索してみると、トレンドマイクロブログの2017年の記事でWindows PCを踏み台にして拡散するIoTマルウエアについて書かれていますが、こうしたマルウエアが拡散している可能性も考えられます。いずれにせよ、PCを狙って感染し、内部ネットワークで感染を広げようとするマルウエアの可能性が高いため、万一の持ち込みに備えて注意が必要でしょう。内部ネットワークから外向きの1433/tcp通信を監視する必要がありそうです。
国別では、中国発の活動が引き続き活発です。1433/tcpや23/tcpのほか多くのポートで活動がありますが、非標準ポートを含めたWebサーバに対するスキャンとみられる活動が高まった時間帯があり、IoT系マルウエアに関連した活動である可能性も考えられます。
香港発では、本日未明に23/tcpの活動が高まったほか、1433/tcpの活動も散見されています。
台湾発では、先に述べたように9001/tcp活動が活発です。以前から続いている23/tcpの活動も引き続き活発な状態が続いています。
ベトナム発でも従来からの445/tcpなどに加え、1433/tcp, 9001/tcpなどの活動が相対的に高まっています。
従来、23/tcp, 7547/tcp, 8291/tcpとルーター系に感染するIoTマルウエアとみられるスキャンが大量に発生していたネパールでも、このところ445/tcp, 1433/tcpなどの活動がみられるようになっています。
韓国でも、1433/tcpに加え、9001/tcpの活発化が見られます。
米国発では引き続き広範なポートへのスキャンが発生していますが、23/tcp, 445/tcp,1433/tcpの活動は相対的に高止まりしています。
ロシア発では、ごく少数のホストを発信元に、非常に広範なスキャンが行われており、人為的な探索活動が疑われます。特に、RDPなどの特定のサービスに関して、標準以外で使われる可能性が高いポートの周辺を念入りにスキャンしている様子が見られます。
日本発のスキャンは絶対数は少ないですが、一時的に139/tcp(netbios), 445/tcp(SMB)の活動が活発化した時間帯があるほか、22/tcp(ssh), 23/tcp(telnet), 1433/tcp(MS SQL)などの活動も相対的に高い状態にあります。9001/tcpに関してはいまのところ活動は観測されていません。
Webサーバ、DNSサーバなどへのDoSライクな着信は、引き続き間欠的に続いています。Webサーバに関しては、80/tcpと443/tcpがセットで同じようなレートで着信しています。53/tcp(DNSのTCPポート)には、米国を中心に多数の着信が見られています。
以上、ここ数日のまとめでした。
大きな動きとしては、9001/tcpへのスキャンが、台湾(TW)を中心に、ロシア、ベトナム、ブラジル、韓国といった国を発信元として活性化している点です。全体のランキングでも4位に浮上しています。
このポートはTorのリレーポートとして知られていますが、他にも使われているため実際の目的は今のところ不明です。ただ、傾向から見てなんらかのマルウエア活動の可能性が高いと考えられるため、注視が必要でしょう。
23/tcp(telnet)も引き続き活発ですが、こちらは間欠的にエストニア(EE)からの活動の活発化が観測されています。
1433/tcp(MS SQLサーバポート)の活動も引き続き中国発を中心に高止まりしています。
発信元の多くがISPのダイナミック割り当てアドレスとみられることから、発信元の主体は、なんらかのマルウエアに感染したPCである可能性が高いと考えられます。検索してみると、トレンドマイクロブログの2017年の記事でWindows PCを踏み台にして拡散するIoTマルウエアについて書かれていますが、こうしたマルウエアが拡散している可能性も考えられます。いずれにせよ、PCを狙って感染し、内部ネットワークで感染を広げようとするマルウエアの可能性が高いため、万一の持ち込みに備えて注意が必要でしょう。内部ネットワークから外向きの1433/tcp通信を監視する必要がありそうです。
国別では、中国発の活動が引き続き活発です。1433/tcpや23/tcpのほか多くのポートで活動がありますが、非標準ポートを含めたWebサーバに対するスキャンとみられる活動が高まった時間帯があり、IoT系マルウエアに関連した活動である可能性も考えられます。
香港発では、本日未明に23/tcpの活動が高まったほか、1433/tcpの活動も散見されています。
台湾発では、先に述べたように9001/tcp活動が活発です。以前から続いている23/tcpの活動も引き続き活発な状態が続いています。
ベトナム発でも従来からの445/tcpなどに加え、1433/tcp, 9001/tcpなどの活動が相対的に高まっています。
従来、23/tcp, 7547/tcp, 8291/tcpとルーター系に感染するIoTマルウエアとみられるスキャンが大量に発生していたネパールでも、このところ445/tcp, 1433/tcpなどの活動がみられるようになっています。
韓国でも、1433/tcpに加え、9001/tcpの活発化が見られます。
米国発では引き続き広範なポートへのスキャンが発生していますが、23/tcp, 445/tcp,1433/tcpの活動は相対的に高止まりしています。
ロシア発では、ごく少数のホストを発信元に、非常に広範なスキャンが行われており、人為的な探索活動が疑われます。特に、RDPなどの特定のサービスに関して、標準以外で使われる可能性が高いポートの周辺を念入りにスキャンしている様子が見られます。
日本発のスキャンは絶対数は少ないですが、一時的に139/tcp(netbios), 445/tcp(SMB)の活動が活発化した時間帯があるほか、22/tcp(ssh), 23/tcp(telnet), 1433/tcp(MS SQL)などの活動も相対的に高い状態にあります。9001/tcpに関してはいまのところ活動は観測されていません。
Webサーバ、DNSサーバなどへのDoSライクな着信は、引き続き間欠的に続いています。Webサーバに関しては、80/tcpと443/tcpがセットで同じようなレートで着信しています。53/tcp(DNSのTCPポート)には、米国を中心に多数の着信が見られています。
以上、ここ数日のまとめでした。
2019年10月16日水曜日
ポートスキャン概況(2019年10月16日)
本日の概況です。
国別のポートランキングで、オランダ(NL)での3306/tcp(MySQLサーバポート)へのスキャンが際立っています。時系列では、16時台に23/tcpのスキャン数が増加しました。
この増加は、オランダ(NL)発での突発的なスキャン数増加が原因です。22/tcp(SSH)では、午前6時台にルーマニア(RO)とロシア(RU)発のスキャンが活発化しました。
1433/tcp(MS-SQL Server)ポートへのスキャン活動は中国を中心に、引き続き活発です。
Mirai系のIoTボットによると見られる5500/tcpへのスキャン活動が相対的に高まっています。活動の中心はオランダ(NL)とドイツ(DE)です。
一昨日あたりから観測されていたWebサーバへのDoSライクなアクセス発生(イタリア割り当てIP:詐称の可能性あり)は終息していますが、53/tcp(DNS)へのアクセスは、本日お昼前後に米国発のものが一時的に増加しました。
以上、本日の概況でした。
国別のポートランキングで、オランダ(NL)での3306/tcp(MySQLサーバポート)へのスキャンが際立っています。時系列では、16時台に23/tcpのスキャン数が増加しました。
この増加は、オランダ(NL)発での突発的なスキャン数増加が原因です。22/tcp(SSH)では、午前6時台にルーマニア(RO)とロシア(RU)発のスキャンが活発化しました。
1433/tcp(MS-SQL Server)ポートへのスキャン活動は中国を中心に、引き続き活発です。
Mirai系のIoTボットによると見られる5500/tcpへのスキャン活動が相対的に高まっています。活動の中心はオランダ(NL)とドイツ(DE)です。
一昨日あたりから観測されていたWebサーバへのDoSライクなアクセス発生(イタリア割り当てIP:詐称の可能性あり)は終息していますが、53/tcp(DNS)へのアクセスは、本日お昼前後に米国発のものが一時的に増加しました。
以上、本日の概況でした。
2019年10月14日月曜日
ポートスキャン概況(2019年10月14日)
本日の概況です。
昨日、一時的にスキャン活動が落ち込んだものの、今日はまた通常の状態に戻っています。23/tcp(telnet) では、昨日あたりからバングラデシュを発信元とするものが観測されています。(下のオレンジ色の部分)
1433/tcp(MS SQL Server)の活動も、引き続き中国を中心に高止まりが続いています。
中国では、1433/tcpの活動が23/tcpを上回った状態が続いています。
日本での活動レベルは相対的に低い状態ですが、1433/tcpの活動は引き続き観測されています。
また、時系列で見ると、日本でのスキャン活動は深夜から早朝の時間帯に低下しているように見え、これは、常時稼働しているサーバなどよりも、この時間帯に停止しているPC等に感染したマルウエアの活動との見方も出来ます。
観測対象のWebサーバへのDoSライクなパケット着信は、また活発化しています。
平均すれば、毎秒1~2パケットの着信で、DoSとしては貧弱なものですが、受けている側からすれば、あまり気持ちのいいものではありません。
以上、本日の状況でした。
昨日、一時的にスキャン活動が落ち込んだものの、今日はまた通常の状態に戻っています。23/tcp(telnet) では、昨日あたりからバングラデシュを発信元とするものが観測されています。(下のオレンジ色の部分)
1433/tcp(MS SQL Server)の活動も、引き続き中国を中心に高止まりが続いています。
中国では、1433/tcpの活動が23/tcpを上回った状態が続いています。
日本での活動レベルは相対的に低い状態ですが、1433/tcpの活動は引き続き観測されています。
また、時系列で見ると、日本でのスキャン活動は深夜から早朝の時間帯に低下しているように見え、これは、常時稼働しているサーバなどよりも、この時間帯に停止しているPC等に感染したマルウエアの活動との見方も出来ます。
観測対象のWebサーバへのDoSライクなパケット着信は、また活発化しています。
平均すれば、毎秒1~2パケットの着信で、DoSとしては貧弱なものですが、受けている側からすれば、あまり気持ちのいいものではありません。
以上、本日の状況でした。
2019年10月13日日曜日
ポートスキャン概況(2019年10月13日)
本日の概況です。
今日は未明から15時台くらいまで、全般的にスキャン数が減少しました。16時台から元に戻っていますが、その原因は不明です。ポート別や国別を見ても全般的に同じような傾向があるため、国内の回線の状況が影響している可能性もあります。
1433/tcpでも同様の傾向が出ていますが、引き続き相対的に活動は活発です。
国別でもスキャン数が多い中国、米国、ロシアなどで、同じように一時的な減少傾向が見られました。
以上、本日の概況でした。
今日は未明から15時台くらいまで、全般的にスキャン数が減少しました。16時台から元に戻っていますが、その原因は不明です。ポート別や国別を見ても全般的に同じような傾向があるため、国内の回線の状況が影響している可能性もあります。
1433/tcpでも同様の傾向が出ていますが、引き続き相対的に活動は活発です。
国別でもスキャン数が多い中国、米国、ロシアなどで、同じように一時的な減少傾向が見られました。
以上、本日の概況でした。
2019年10月10日木曜日
1433/tcp活動が継続中(2019年10月10日 ポートスキャン概況)
本日も1433/tcp(MS-SQLサーバポート)宛ての活動は高止まりしています。ポートランキングでは、第3位ですが、そろそろ第2位の445/tcpに迫る勢いです。
1433/tcpのトレンドは以下のようになっています。
活動の中心は引き続き中国です。中国ではこの3日間の集計で1433/tcpがトップとなっています。
5555/tcp(Android ADBポート)では、午前0時台にフランス発で活動が活発化しました。
国別では、香港で午後9時台に23/tcpの活動が高まりました。ここでも、1433/tcpは3日間のトータルでは445/tcpを越えて第2位となっています。香港での第1位は、5555/tcpで、Android ADBポート経由でのマルウエア感染が相対的に多いことを示唆しています。
韓国発でも、1433/tcpが23/tcpについで第2位となっています。mata,
5555/tcpも上位につけています。
雑多なポートへのスキャンが多い米国、ロシアでも、1433/tcpは23/tcp,445/tcpについで第3位をキープしています。
日本での1433/tcpは、今日の未明に一旦落ち着いた活動が昼前後にかけて活発化し、また夕方にかけて退化するというパターンが見られました。相対的に活動は低下しているように見えますが、3日間のトータルでは、依然として445/tcpに次いで第2位となっています。こうしたパターンから、発信元がサーバ等、常時ネットワークに接続されているものでなく、PCのように停止したり、ネットワークから切り離されたりするデバイスが発信元になっている可能性が高いと考えられます。
1433/tcpについては、引き続き警戒が必要と思われます。
明日、明後日と越後湯沢の情報セキュリティワークショップ参加のため、レポートができないかもしれません。観測は継続しているため、変化があれば後日レポートします。
1433/tcpのトレンドは以下のようになっています。
活動の中心は引き続き中国です。中国ではこの3日間の集計で1433/tcpがトップとなっています。
5555/tcp(Android ADBポート)では、午前0時台にフランス発で活動が活発化しました。
国別では、香港で午後9時台に23/tcpの活動が高まりました。ここでも、1433/tcpは3日間のトータルでは445/tcpを越えて第2位となっています。香港での第1位は、5555/tcpで、Android ADBポート経由でのマルウエア感染が相対的に多いことを示唆しています。
韓国発でも、1433/tcpが23/tcpについで第2位となっています。mata,
5555/tcpも上位につけています。
雑多なポートへのスキャンが多い米国、ロシアでも、1433/tcpは23/tcp,445/tcpについで第3位をキープしています。
日本での1433/tcpは、今日の未明に一旦落ち着いた活動が昼前後にかけて活発化し、また夕方にかけて退化するというパターンが見られました。相対的に活動は低下しているように見えますが、3日間のトータルでは、依然として445/tcpに次いで第2位となっています。こうしたパターンから、発信元がサーバ等、常時ネットワークに接続されているものでなく、PCのように停止したり、ネットワークから切り離されたりするデバイスが発信元になっている可能性が高いと考えられます。
1433/tcpについては、引き続き警戒が必要と思われます。
明日、明後日と越後湯沢の情報セキュリティワークショップ参加のため、レポートができないかもしれません。観測は継続しているため、変化があれば後日レポートします。
1433/tcp活動拡大中(2019年10月9日のポートスキャン概況)
本日も引き続き、1433/tcp(MS-SQLサーバ)宛てのスキャン活動が拡大しつつあります。
過去3日間のトータルでは、1433/tcpは23/tcp, 445/tcpについで第3位となりました。活動地域も中国からアジア、米国、中南米、ヨーロッパと広がりを見せています。(本日お昼頃のデータ欠落は、データ処理仮想マシンが動いているWindowsサーバのメンテナンス(恒例のパッチ当て)によるものです。今回もクリティカルな脆弱性が多いので、パッチはお早めに・・・)
国別に見ると、中国(CN)では、現時点で1433/tcpのイベント数がトップとなっていて、今回の活動の中心となっています。
韓国(KR)でも活動は活発化しています。この国は以前、SQL Slammerに席巻された歴史も有り、SQLサーバポートがインターネットに晒されている数も他国に比べて多いようです。
米国(US)やロシア(RU)では、幅広いポートの活動に埋もれがちですが、トータルで見ると1433/tcpの活動が上位にいることがわかります。
日本国内でも数は少ないですが、相対的に活動が活発になっているようです。
ちなみに、日本での、この3日間ほどの1433/tcpスキャンの発信元を見ると以下のような感じで、絶対数はそれほど多くありません。
気になるのは、その多くがISPのダイナミック割り当てレンジのIPのように見えることです。可能性としては、サーバではなく、PCになんらかのマルウエアが感染し、それが1433/tcpを利用した活動を行っていることなどが考えられますが、現状、確かな原因は不明です。いずれにせよ、活動は依然として拡大傾向にあるため、警戒が必要でしょう。
以上、本日の状況でした。
過去3日間のトータルでは、1433/tcpは23/tcp, 445/tcpについで第3位となりました。活動地域も中国からアジア、米国、中南米、ヨーロッパと広がりを見せています。(本日お昼頃のデータ欠落は、データ処理仮想マシンが動いているWindowsサーバのメンテナンス(恒例のパッチ当て)によるものです。今回もクリティカルな脆弱性が多いので、パッチはお早めに・・・)
国別に見ると、中国(CN)では、現時点で1433/tcpのイベント数がトップとなっていて、今回の活動の中心となっています。
韓国(KR)でも活動は活発化しています。この国は以前、SQL Slammerに席巻された歴史も有り、SQLサーバポートがインターネットに晒されている数も他国に比べて多いようです。
米国(US)やロシア(RU)では、幅広いポートの活動に埋もれがちですが、トータルで見ると1433/tcpの活動が上位にいることがわかります。
日本国内でも数は少ないですが、相対的に活動が活発になっているようです。
ちなみに、日本での、この3日間ほどの1433/tcpスキャンの発信元を見ると以下のような感じで、絶対数はそれほど多くありません。
気になるのは、その多くがISPのダイナミック割り当てレンジのIPのように見えることです。可能性としては、サーバではなく、PCになんらかのマルウエアが感染し、それが1433/tcpを利用した活動を行っていることなどが考えられますが、現状、確かな原因は不明です。いずれにせよ、活動は依然として拡大傾向にあるため、警戒が必要でしょう。
以上、本日の状況でした。
登録:
投稿 (Atom)