インターネット環境モニタリング結果(2019年3月)

　総務省・情報通信研究機構(NICT)によるNOTICEが2019年2月から始まっていますが、その効果は既に表れはじめていたりするのでしょうか？
　先月に引き続き、現時点でのインターネット環境の現状についてまとめておきます。
wave.hatenablog.com
　

　先月から変更なくモニタリング環境は以下の通りで、回線自体は一般家庭で契約するような一般的な常時接続回線です。

※日別に自動出力しているグラフを1か月分まとめてGIF化しているだけなので、軸が変わって見づらいですが、ご容赦ください。

f:id:kachine:20190402234106g:plain

f:id:kachine:20190402234140g:plain

f:id:kachine:20190402234218g:plain
　

　前掲のGIFは毎日不審な接続がたくさん試みられているのだ、ということが視覚的に良く判ると思いますが、月単位で集計するとどうなのかは見えてきません。
　というわけで、今月も面倒ですが手作業*1で集計してみました。

f:id:kachine:20190402234320p:plain

先月同様にTCP#23,445が圧倒的大多数を占める
3番目に多いのはTCP#52869で先月5位から上昇(先月3位だったTCP#1433のSQL Serverの接続に使われるポートは28位に低下)
- 一般に使われるポートではなく、Miraiと呼ばれるワーム及びその亜種が使用していると考えられる
4番目に多いのはTCP#22でSSH(先月も4位)
5番目に多いのはTCP#80のhttpで先月7位から上昇
- インターネットに意図せず公開されているWebカメラの映像や、ルーターや複合機などの管理画面へのアクセスを試行していると考えられる

f:id:kachine:20190402235113p:plain

TCP#8080, 8000, 80, 443, 23, 22, 21, 9527, 9000, 81, 2323しか接続を試みられていない
- この内、8080, 8000, 80, 443, 23, 22, 21, 81, 2323は先月もスキャンされたポート
- 9527, 9000が新規にスキャンされたポート
  - TCP#9527はHide'N Seek(HNS)と呼ばれるIoTボットが使用する模様*2
  - TCP#9000はKGUARD Security製のビデオレコーダ*3の脆弱性を狙っている模様*4
相変わらず前掲のグラフのように狙われることが多いポートでも、NOTICEではスキャンしない模様
3月5~7日は3日連続して接続を試行してきたものの、その後は3月11日を境に何故かぱったり止まった

f:id:kachine:20190403000303p:plain
※DB-IPにより国を特定できない発信元IPアドレスは除外して集計

不審な接続を試行してくるIPアドレスの発信元国として、中国(先月2位)、アメリカ(先月3位)、ロシア(先月1位)に続いて日本は4位(先月7位)にランクイン
- NOTICEによる脆弱な機器の吊し上げ後に行われることになっている当該回線契約者への通知と対策のフローが適切に回り始めると、日本のIPアドレス発のこれらの不審な接続は減少するはずなのだが、なぜか増えている(順位だけではなく、回数ベースでも増加している)
- 今後の動向を注視

以上。

*1:sqliteにpivot関数が無いので、手作業でGoogle スプレッドシートにピボットテーブルを作ってグラフ化しています。

*3:家庭用のHDDレコーダではなく、複数の監視カメラ映像を録画する機器