過去3日間のトータルでは、1433/tcpは23/tcp, 445/tcpについで第3位となりました。活動地域も中国からアジア、米国、中南米、ヨーロッパと広がりを見せています。(本日お昼頃のデータ欠落は、データ処理仮想マシンが動いているWindowsサーバのメンテナンス(恒例のパッチ当て)によるものです。今回もクリティカルな脆弱性が多いので、パッチはお早めに・・・)
国別に見ると、中国(CN)では、現時点で1433/tcpのイベント数がトップとなっていて、今回の活動の中心となっています。
韓国(KR)でも活動は活発化しています。この国は以前、SQL Slammerに席巻された歴史も有り、SQLサーバポートがインターネットに晒されている数も他国に比べて多いようです。
米国(US)やロシア(RU)では、幅広いポートの活動に埋もれがちですが、トータルで見ると1433/tcpの活動が上位にいることがわかります。
日本国内でも数は少ないですが、相対的に活動が活発になっているようです。
ちなみに、日本での、この3日間ほどの1433/tcpスキャンの発信元を見ると以下のような感じで、絶対数はそれほど多くありません。
気になるのは、その多くがISPのダイナミック割り当てレンジのIPのように見えることです。可能性としては、サーバではなく、PCになんらかのマルウエアが感染し、それが1433/tcpを利用した活動を行っていることなどが考えられますが、現状、確かな原因は不明です。いずれにせよ、活動は依然として拡大傾向にあるため、警戒が必要でしょう。
以上、本日の状況でした。
0 件のコメント:
コメントを投稿