March 18, 2017

日本におけるMirai BotNet

約3年ぶりに更新する気になったので、心機一転Tumblrからこちらに移行して再開。

先月から観測を始め、そろそろ1ヶ月になるということもありデータが溜まってきたのでまとめてみる。

攻撃カウント状況

設置した2月21日から3月17日までの攻撃カウントはこのようになっている。2月末から3月頭に活発になっていて、最近は落ち着いているようである。

攻撃元国

攻撃元の国としてはロシアからの攻撃が一番多く全体の30.4%を占めている。その次にアメリカが28%、ノルウェー24.9%、中国2.3%、ドイツ1.9%、その他となっている。

パスワード

これは攻撃に使用されたパスワードである。xc3511やvizxv、default、admin、juantech、54321、anko、xmhdipcといったパスワードが多い。これらはMirai BotNetが使用するパスワードであり、このことからMirai BotNetからの攻撃が多いと判断できる。

攻撃元を日本とした場合はどうなのか。攻撃元が日本のIPアドレスは次のとおりである。

No. IPアドレス クライアント情報 回線
1 106.166.193.XX SSH-2.0-sshlib-0.1 KDDI KDDI CORPORATION
2 111.100.153.XX SSH-2.0-sshlib-0.1 KDDI KDDI CORPORATION
3 113.158.61.XXX SSH-2.0-sshlib-0.1 KDDI DION (KDDI CORPORATION)
4 119.104.196.XXX - KDDI KDDI CORPORATION
5 120.51.100.XX - VECTANT ARTERIA Networks Corporation
6 183.180.76.XXX - VECTANT ARTERIA Networks Corporation
7 202.215.132.XXX - VECTANT ARTERIA Networks Corporation
8 153.145.139.XX - OCN NTT Communications Corporation
9 153.163.189.XXX SSH-2.0-sshlib-0.1 OCN NTT Communications Corporation
10 153.231.161.XX - OCN NTT Communications Corporation
11 52.199.19.XX - AMAZON-02 - Amazon.com, Inc.
12 54.238.249.XXX - AMAZON-02 - Amazon.com, Inc.
13 119.229.121.XX - K-OPTICOM K-Opticom Corporation
14 218.42.252.XXX - K-OPTICOM K-Opticom Corporation
15 125.199.86.XXX SSH-2.0-sshlib-0.1 BIGLOBE BIGLOBE Inc.
16 203.136.156.XXX - BIGLOBE BIGLOBE Inc.
17 27.54.125.XXX - FBDC FreeBit Co.,Ltd.
18 126.114.210.XX - GIGAINFRA Softbank BB Corp.
19 163.44.168.XXX - INTERQ GMO Internet,Inc
20 182.168.142.XX - SO-NET So-net Entertainment Corporation
21 202.143.199.XXX - MABLE San-in Cable Vision CO.,LTD
22 222.231.84.XXX - AS-ENECOM Energia Communications,Inc.
23 60.128.11.XXX SSH-2.0-PuTTY_Release_0.63 GIGAINFRA Softbank BB Corp.
24 183.77.227.XX SSH-2.0-PuTTY_Release_0.67 ASAHI-NET Asahi Net

現時点で24のIPアドレスを確認していて、このうち1から22までは行動等からMirai BotNetからの攻撃である。残りの2IPアドレスはMirai BotNetではなく攻撃者が存在している。

使用している回線はKDDIやアルテリア・ネットワークス、OCN、Amazonというように特に特徴はみられない。

日本における攻撃元の位置情報

IPアドレスから求めた位置情報を地図にマッピングするとこのようになる。日本国内においてもMirai BotNetに感染している端末がすくなからずあることがわかる。今後これがどのように広がっていくのか引き続き観測していく。

23および24については、別途詳細をまとめるつもりである。

© 2014-2017 magiauk.