|
検体収集型HoneyPotの攻撃事象は先月より減少傾向となっている( 図1 )。これは先月まで大量配布を行っていたアメリカの特定サイトのアドレスが変わり、それに伴い検体配布量が大幅に減少したためと見られる( 先月のアメリカからの収集比率は全体の 36.4%, 今月の収集率については 図3 記載 )。
また、検体種類別比率( 図5 )を見るとWORM_DOWNAD.ADが1位となっており、先月1位であったPE_VIRUT.AVは2位となった。PE_VIRUT.AVの収集数は先月より約5,000件減少しており、これは国内からの収集数が減少したことが主な要因である。
攻撃事象収集型HoneyPotの攻撃事象数は先月より増加傾向となっていた( 図2 )。特に海外からのMS08-067を狙う攻撃が増加しており、MS08-067の攻撃比率は全体の約 57.5% 、内、海外からの攻撃比率は約 46%となっていた。また、MS08-067の攻撃元は主に台湾・ロシアからであり( 図4 )、多くは攻撃事象のみでMalwareのダウンロード成功まで行えた攻撃事象は全体の約 9%ほどであった。ダウンロードに成功したMalwareの多くはWORM_DOWNAD.ADであり、感染後は特定サイトへアクセスする動きとなっていたが、接続に失敗しているものが多く見られた。
|
|
| サイバークリーンセンターでは、以下の2種類のハニーポットを有します。それぞれの状況について示します。 |
|
| <検体収集型> |
 |
マルウェア検体を収集することを主目的として設計されたハニーポット。
検体の収集にともなう攻撃元IPアドレスも記録することができる。
攻撃事象収集型よりも多様なマルウェアを収集することが可能。 |
|
| <攻撃事象収集型> |
| |
攻撃元IPアドレスを記録することを主目的として設計されたハニーポット。
マイクロソフト社OSの主要な脆弱性に対応している。
検体収集型よりも効率よくボット感染者を見つけることが可能 |
|
|
|
 |
| [調査対象期間:2010/2/01〜2010/04/30] |
 |
| 図1.検体収集型ハニーポット |
|
 |
| 図2.攻撃事象収集型ハニーポット |
|
|
 |
| [調査対象期間:2010/04/01〜2010/04/30] |
 |
|
 |
| 図3.検体収集型ハニーポット |
|
図4.攻撃事象収集型ハニーポット |
|
|
 |
| [調査対象期間:2010/04/01〜2010/04/30] |
 |
| 図5.検体収集型ハニーポット |
|
 |
| 図6.攻撃事象収集型ハニーポット |
|
|
 |
| [調査対象期間:2010/2/01〜2010/04/30] |
 |
| 図7.攻撃事象収集型ハニーポット国内収集推移 |
|
 |
| 図8.攻撃事象収集型ハニーポット海外収集推移 |
|
|
|
|
