ポートスキャン概況（2019年11月19日）

本日の概況です。午後9時頃からロシア発で5555/tcpの急増が観測されています。



上の概要ページでは、先日の23/tcpバーストの影響で判別しにくいですが、ポート別、国別で見ると極端に増加していることがわかります。5555/tcpはAndroidのデバッグ機能であるADBのポートで、組み込み機器などでデバッグ機能が有効になってしまっているものを対象にしたスキャンと考えられますが、大量発生はこうしたボットの新種拡散が原因とも考えられます。





米国での広範囲のポートスキャンは漸増傾向にあり、特に、IoT系ボットが狙うようなポートへのスキャンが増加しているようです。ボット活動の影響とも考えられます。



こうした傾向は引き続き注視していく必要がありそうです。

ポートスキャン概況（2019年11月18日）

本日の概況です。午前11時台にカナダIPから23/tcpの大量着信を観測しました。



この着信は、発信元、宛先ともに単一のIPで、ポートスキャンというよりはDoSに近いものでした。



139/tcp,445/tcpのWindosポート宛てでは、インドネシアとベトナムで未明と午前に活発化が見られました。445/tcpは全般的に活発な状況が続いています。



1433/tcpの活動は引き続き中国を中心に広い地域で観測されています。少ないながら日本発も観測されています。また、9001/tcpで昨日深夜から今朝にかけて活発化が見られました。発信元はブラジル、中国、タイ、フィリピン、インドなど南米とアジアが中心です。



60001/tcpでは、米国発の活動が午後に活発化しました。



国別集計でインド、インドネシア、ブラジルなどを追加しました。インドでは、23/tcpに加え、445/tcpの活動が活発化しています。また、1433/tcpの活動も散発的に発生しています。



インドネシアでも、445/tcpと139/tcpが活発化しています。ここ数日、アジア各地で見られている活発化と同じような傾向です。



ブラジルの発の活動は特徴的です。23/tcpに加え、26/tcp, 9000/tcp, 9001/tcpといったポートでの活動が活発で、IoTボット関連の活動レベルが高いと考えられます。昨夜から本日午前中にかけてピークがあり、夜にかけてまた活発化し始めていますが、日本から見て昼夜真逆の時間帯なので、昼間の活発化とみることもできます。



国別に見ると、それぞれ異なる特徴があります。

ポートスキャン概況（2019年11月16日）

本日の概況です。午前中に139/tcp, 445/tcpの活動が活発化しています。23/tcpでは、米国で一時的に活発化した時間帯がありました。



139/tcp, 445/tcp活動の主体は中国（CN）とセーシェル（SC）ですが、アジア周辺でも多少活発化がみられます。



一方、日本国内では昨日、今日と1433/tcpの活動が高まった時間帯がありました。また、今日は445/tcpや137/udpといったWindows系のポートへの活動も見られます。



先の139,445/tcpの活動との関連は不明ですが、マルウエア等の可能性もあり、週明けの内部持ち込み可能性には留意が必要かもしれません。

このところ、様々な活動が少し活発化しているようにも見えます。引き続き注視したいところです。

ポートスキャン概況（2019年11月14日）

本日の概況です。今日も23/tcpの活動は活発です。



中国方面からの活動は小康状態になっていますが、フランスからの突発的な大量着信が今日も発生しています。



5500/tcp（Mirai系ボットの活動と思われる）の活動が米国発で間欠的に活発化しているほか、5500/tcp （Android ADBポート）へのスキャン活動も、特定の地域発のバーストが観測されています。今日は午前中にオランダ（NL）発でバースト的な着信を観測しました。



こうした傾向は引き続き注視していく必要がありそうです。

ポートスキャン概況（2019年11月13日）

本日の概況です。23/tcpの活動が活性化傾向にあります。



23/tcpでは、中国発の活動が活発化しているほか、フランスや米国、台湾などの地域でも一時的な活発化がみられます。



1433/tcp（MS SQLサーバポート）の活動は、引き続き中国発を中心に活発な状態が続いています。



本日午後にはウクライナ、夜にはロシア発で5555/tcp（Android ADBポート）宛ての大量着信が発生しています。



IoTボットなどの活動が全体的に活性化しているようにも見えるので、引き続き注意が必要でしょう。

ポートスキャン概況（2019年11月11日）

本日の概況です。お昼前頃から中国割り当てIPを発信元とする大量の123/udp（NTP）パケットの着信が観測されています。



中国IP発信元のグラフは以下のようになっていて、123/udpパケットが大半を占めています。また、23/tcpの活動が活発になった時間帯もありました。



UDPパケットについては、発信元詐称の可能性もあり、中国IPをターゲットとしたDoSの可能性も考えられます。23/tcpでは午後3時台に中国発が活発化しました。



今日はお昼前にかけて、5555/tcp（Android ADBポート）宛てのスキャンが、オランダ、トルコ、フランスといった欧州方面で活発化しています。



このところ、少しスキャンのパターンに変化も見られるので、引き続き推移を見ていく必要がありそうです。

ポートスキャン概況（2019年11月9日）

本日の概況です。米国で23/tcpの活動が一時的に活発化したほか、1433/tcpの活動も、引き続き中国を中心に活発です。これらもあって、総合順位では米国と中国が交互に首位と2位を奪い合っている状況です。



23/tcpでは、中国、米国、カナダ、ネパールなどの国が比較的活発ですが、今日の米国を含め、その他の地域でも時折一時的な活発化が見られます。



139,445/tcp （Winodws netbios/SMB）への活動では、本日、ベネズエラ発で一時的な活発化が観測されました。



国別では、本日午後3時台に、中国割り当ての単一IPから、短時間に広範囲のハイポートへのスキャン活動を観測しています。発信元ポートが一定で無いことやセグメント全体にスキャンしていることなどから、意図的なスキャン活動と考えられます。



オランダ（NL)では、広範なポートへのスキャンが観測されていますが、昨日辺りから少し活発化がみられます。また、ポート分布で20000番周辺の密集した部分はDDoSのリフレクションなどの可能性が考えられます。



以上、本日の概況でした。

ポートスキャン概況（2019年11月7日）

本日のポートスキャン観測概況です。引き続き、23/tcpでは地域限定で短時間の突発的なバーストが発生する傾向にあります。国別では一昨日の23/tcpバーストの影響で米国がスキャン数でトップに出ました。２位の中国では、引き続き1433/tcpの活動が活発です。



23/tcpでは、一昨日の米国の後、中国やフランスなどでも比較的小規模（と言っても米国のバーストが大きすぎたためで、それぞれは十分に大きいですが）バーストが発生しています。



8080/tcpの活動は中国を中心にじわじわと活発化しているように見えます。このポートはWebプロキシの他、様々な機器のWebコンソールなどにも使われているため、様々な目的のスキャンが混在している可能性があります。



1433/tcpでは中国発が多くを占めるものの、その他多くの地域を発信元とするスキャンが観測されています。発信元はダイナミック割り当てと思われるIPが多く、PCへのマルウエア感染が疑われます。PC経由で内部のSQLサーバへの攻撃を狙うマルウエア等の可能性があります。



国別で、日本発の状況を見ると、全体的には不活発ですが、散発的に特徴的な活動もみられます。



ここ数日で目立ったのが、47924/tcpに対するものと39090/tcpに対するものです。いずれも正規の割り当てがないポートですが、グーグルで検索してみた結果では、前者はNFS関連のRPCで使われている可能性があり、後者はHPE社のVSDクラスタをProxy（F5のBigIP）経由で管理する際のポートとしてマニュアルに記載がありました。実際の目的は不明ですが、これらに関連した探索活動の可能性もあります。また、昨日の夜には139/tcpと445/tcpへのスキャンが増加しました。これらは通常の活動レベルよりもかなり高いレベルの活動で、マルウエアもしくは意識的な探索活動による可能性が高いと思われます。

以上、本日の概況でした。

ポートスキャン概況（2019年11月5日）

出張から帰国後、サーバを復旧させ、一週間分ほどのデータが蓄積したので、またレポートを再開します。今日は米国方面で23/tcpの爆発的な活動を観測しました。



先日は中国でも同様の活動があり、その前はカナダと、いくつかの地域で散発的にこうしたバーストが発生しています。特定のボットの活動によるものと見られますが、新たな亜種の感染拡大やアップデート、スキャン活動などが考えられます。



1433/tcpの活動も引き続き、中国発を中心に高い状態が続いています。こちらについても引き続き注意が必要でしょう。

以上、今日の概況でした。