約3年ぶりに更新する気になったので、心機一転Tumblrからこちらに移行して再開。
先月から観測を始め、そろそろ1ヶ月になるということもありデータが溜まってきたのでまとめてみる。
設置した2月21日から3月17日までの攻撃カウントはこのようになっている。2月末から3月頭に活発になっていて、最近は落ち着いているようである。
攻撃元の国としてはロシアからの攻撃が一番多く全体の30.4%を占めている。その次にアメリカが28%、ノルウェー24.9%、中国2.3%、ドイツ1.9%、その他となっている。
これは攻撃に使用されたパスワードである。xc3511やvizxv、default、admin、juantech、54321、anko、xmhdipcといったパスワードが多い。これらはMirai BotNetが使用するパスワードであり、このことからMirai BotNetからの攻撃が多いと判断できる。
攻撃元を日本とした場合はどうなのか。攻撃元が日本のIPアドレスは次のとおりである。
| No. |
IPアドレス |
クライアント情報 |
回線 |
| 1 |
106.166.193.XX |
SSH-2.0-sshlib-0.1 |
KDDI KDDI CORPORATION |
| 2 |
111.100.153.XX |
SSH-2.0-sshlib-0.1 |
KDDI KDDI CORPORATION |
| 3 |
113.158.61.XXX |
SSH-2.0-sshlib-0.1 |
KDDI DION (KDDI CORPORATION) |
| 4 |
119.104.196.XXX |
- |
KDDI KDDI CORPORATION |
| 5 |
120.51.100.XX |
- |
VECTANT ARTERIA Networks Corporation |
| 6 |
183.180.76.XXX |
- |
VECTANT ARTERIA Networks Corporation |
| 7 |
202.215.132.XXX |
- |
VECTANT ARTERIA Networks Corporation |
| 8 |
153.145.139.XX |
- |
OCN NTT Communications Corporation |
| 9 |
153.163.189.XXX |
SSH-2.0-sshlib-0.1 |
OCN NTT Communications Corporation |
| 10 |
153.231.161.XX |
- |
OCN NTT Communications Corporation |
| 11 |
52.199.19.XX |
- |
AMAZON-02 - Amazon.com, Inc. |
| 12 |
54.238.249.XXX |
- |
AMAZON-02 - Amazon.com, Inc. |
| 13 |
119.229.121.XX |
- |
K-OPTICOM K-Opticom Corporation |
| 14 |
218.42.252.XXX |
- |
K-OPTICOM K-Opticom Corporation |
| 15 |
125.199.86.XXX |
SSH-2.0-sshlib-0.1 |
BIGLOBE BIGLOBE Inc. |
| 16 |
203.136.156.XXX |
- |
BIGLOBE BIGLOBE Inc. |
| 17 |
27.54.125.XXX |
- |
FBDC FreeBit Co.,Ltd. |
| 18 |
126.114.210.XX |
- |
GIGAINFRA Softbank BB Corp. |
| 19 |
163.44.168.XXX |
- |
INTERQ GMO Internet,Inc |
| 20 |
182.168.142.XX |
- |
SO-NET So-net Entertainment Corporation |
| 21 |
202.143.199.XXX |
- |
MABLE San-in Cable Vision CO.,LTD |
| 22 |
222.231.84.XXX |
- |
AS-ENECOM Energia Communications,Inc. |
| 23 |
60.128.11.XXX |
SSH-2.0-PuTTY_Release_0.63 |
GIGAINFRA Softbank BB Corp. |
| 24 |
183.77.227.XX |
SSH-2.0-PuTTY_Release_0.67 |
ASAHI-NET Asahi Net |
現時点で24のIPアドレスを確認していて、このうち1から22までは行動等からMirai BotNetからの攻撃である。残りの2IPアドレスはMirai BotNetではなく攻撃者が存在している。
使用している回線はKDDIやアルテリア・ネットワークス、OCN、Amazonというように特に特徴はみられない。
IPアドレスから求めた位置情報を地図にマッピングするとこのようになる。日本国内においてもMirai BotNetに感染している端末がすくなからずあることがわかる。今後これがどのように広がっていくのか引き続き観測していく。
23および24については、別途詳細をまとめるつもりである。