IoTマルウェア"Mirai"からのアクセスが増えてるみたい
IoTマルウェア「Mirai」の亜種が急拡大、日本でも感染か?(ITMediaエンタープライズ)
11/22あたりからPort2323へのスキャンが増加した、と報じているので、ウチのハニーポット(さくらVPS東京リージョン内のT-Pot)でも見てみました。
※以下のSSでは発信元IPを「geoIPによる識別」で日本と認識されているもので絞っています。
Dioanea,Honeytrap,Grastopf,Cowrieへのアクセスカウント(上段) Honeytrapへのポートアクセス内訳(下段)
CowrieはSSH/Telnetハニーポットです。うちの環境では11/16頃からSSH/Telnetへのアクセスが増えており、特にPort2323へのアクセス(水色棒グラフ部分)が急増しているのが観察できます。
アクセス元のOS
Linuxからが大多数。IoT機器の組み込みLinuxからなんでしょうね。
SSH/Telnetアクセスで入力されるID,パスワード
デフォルト設定っぽいものから脆弱性狙ったものまで色々あります。 あなたのインターネットにつないだ機器はこんなIDとパスワード使ってませんか?
アクセス元Top10
ケーブルテレビインターネット(ジュピターテレコム、ZTV)からもそこそこ来てますね。 GMO(ConoHa)やさくらVPSあたりにもbotnet化してしまったノードがいるみたいです。
ちなみに、全世界からのアクセス合計
全然多かった。多い日はCowrie宛に1日75万回ぐらい来てるし。 ロシア、オランダ、スペインからのアクセスが多いですねぇ。 世界のトレンド(?)はPort2223のようです。