総務省・情報通信研究機構(NICT)によるNOTICEが2019年2月から始まっていますが、その効果は既に表れはじめていたりするのでしょうか?
先月に引き続き、現時点でのインターネット環境の現状についてまとめておきます。
wave.hatenablog.com
前提
先月から変更なくモニタリング環境は以下の通りで、回線自体は一般家庭で契約するような一般的な常時接続回線です。
- 国内大手ISPの回線
- WAN側アドレス(GlobalIPアドレス)として、IPv4アドレスがPPP接続の都度ランダムに割り当てられる
- ルーターのFireWall機能が出力する接続遮断履歴を基に情報を抽出
- 対象期間:2019年3月(日本時間)
月間サマリ
前掲のGIFは毎日不審な接続がたくさん試みられているのだ、ということが視覚的に良く判ると思いますが、月単位で集計するとどうなのかは見えてきません。
というわけで、今月も面倒ですが手作業*1で集計してみました。
ポート別
- 先月同様にTCP#23,445が圧倒的大多数を占める
- 3番目に多いのはTCP#52869で先月5位から上昇(先月3位だったTCP#1433のSQL Serverの接続に使われるポートは28位に低下)
- 一般に使われるポートではなく、Miraiと呼ばれるワーム及びその亜種が使用していると考えられる
- 4番目に多いのはTCP#22でSSH(先月も4位)
- 5番目に多いのはTCP#80のhttpで先月7位から上昇
NOTICEによる接続試行状況
- TCP#8080, 8000, 80, 443, 23, 22, 21, 9527, 9000, 81, 2323しか接続を試みられていない
- 相変わらず前掲のグラフのように狙われることが多いポートでも、NOTICEではスキャンしない模様
- 3月5~7日は3日連続して接続を試行してきたものの、その後は3月11日を境に何故かぱったり止まった
*1:sqliteにpivot関数が無いので、手作業でGoogleスプレッドシートにピボットテーブルを作ってグラフ化しています。
*2: IIJ Security Diary: 国内における Mirai 亜種のスキャン通信は減少、ただし今後も要注意 (2018年1月の観測状況)
*3:家庭用のHDDレコーダではなく、複数の監視カメラ映像を録画する機器
*4: Kguard Digital Video Recorder Bypass Issues ≈ Packet Storm