ハニーポット用にたてているWebサーバー。

基本的にハニーポットに届く通信とサーバ管理用で必要な通信ポート以外ブロックをしてログに記録しております。

そこで、どんなサービスに対してスキャンが来ているのだろうと思い、ブロックされているポートと件数TOP10をまとめてみました。

 【観測環境】

　■観測期間：2018年2月18日~3月20日（30日間）

　■観測場所：日本国内IP（一か所しかないです。はい）

　　1位　23/TCP（9690件）　　：いわずもがなTelnet

　　2位　1433/TCP（2882件）　：SQL Severのポート

　　3位　22/TCP（1478件）　　：SSHですね

　　4位　8545/TCP（1338件）　：？？？

　　5位　3306/TCP（1152件）　：MySQLのポート

　　6位　52869/TCP（995件）　：某メーカー製ルータの脆弱性を狙ったSCAN

　　7位　5060/UDP（ 920件）　：SIP関連機器

　　8位　8080/TCP（ 885件）　：いろんなサービスで使用中

　　9位　3389/TCP（ 730件）　：リモートデスクトップ

　　10位　2323/TCP（ 647件）：これもTelnet

　11位以下は下図ご参照

23/TCPへの通信がダントツですね。

いろいろ検索してみるとMirai-Bot関連のSCANのようです。

日本サイバー犯罪対策センター（JC3）のWebサイトをはじめ様々な注意喚起文が出てました。

注意情報｜一般財団法人日本サイバー犯罪対策センター

これによると2323/TCPや52869/TCPも同じもののようです。

きっとMirai亜種とかいろんなものがいるんだろうなぁ。

Miraiはよく使われるアカウントとパスワードをバシバシぶつけてくるとのこと。

これからインターネットに公開しようとするサーバやIoT機器は標準設定や簡単なアカウント・パスワードを使わず、ちゃんと変更をしましょう。

（既存の機器は乗っ取られていないことの確認が必要かも…どうやって？？？）