不正アクセスのあったIPアドレスと傾向

社内で試験的に稼働させているテストWebサーバでは、24時間365日不正なアクセスに対して監視し、その行動について記録をとっています。

所謂、ハニーポットとしての役割を担わせているわけですが、ここ数日、不正なログインを試みるトライが多数確認されました。

詳しいことは書けませんが、過去に不正アクセスとして検出されたIPアドレスについて軽くその一部をご紹介しておきます。

不正アクセスの多かったIPアドレスとその傾向

不正アクセスが特に多かったIPアドレスは、米国のクラウドサービスを利用してました。

不正アクセスの頻度が最も多かったIPアドレスTOP３は以下の通り（※詳細は＊で伏せています。）です。もしも以下のレンジのIPアドレスから不正と思われるアクセスがあり、特に海外からのアクセスを目的としていない場合は、ネットワークの大きな単位でフィルターしておいても宜しいかと思います。

20.222.*.* CIDR:20.192.0.0/10

OrgName: Microsoft Corporation OrgId: MSFT Address: One Microsoft Way City: Redmond StateProv: WA

20.89.224.* CIDR: 20.33.0.0/16

OrgName: Microsoft Corporation OrgId: MSFT Address: One Microsoft Way City: Redmond StateProv: WA

13.113.*.*

OrgName: Amazon Technologies Inc. OrgId: AT-88-Z Address: 410 Terry Ave N. City: Seattle StateProv: WA

簡単にサーバを起動することができ、動的にIPアドレスが割り振られるので、不正アクセスもしくは不正アクセスを行う為の調査をする為の一次的なサーバもしくは踏み台として利用するには好都合なのでしょう。

次に不正アクセスが多かったのは、インド、ドイツに割り当てられているIPアドレスでした。country: DEはドイツです。

173.249.*.*

Org-name: Contabo GmbH country: DE org-type: LIR

139.59.*.*

inetnum: 139.59.80.0 – 139.59.95.255 country: IN

不正アクセスが確認された後の対応

被害があった場合は別ですが、特に被害がなくセキュリティ対策上検知され、不正アクセスが明確に確認された場合の対応して、まずやっておきたいのが、IPアドレスのアクセス拒否。不正アクセスのあったソースのIPアドレスは動的に変わる為、できれば広いレンジでIPアドレスを遮断しておきましょう。

次に、そのIPアドレスをwhois gatewayなどでIPアドレスの詳細を調査し、不正アクセスがあった場合の問い合わせ先などが確認できれば、少し手間ですが、問い合わせ先に連絡しておきましょう。

一例ですが、Microsoftが管理しているIPアドレスから不正アクセスがあった場合は、以下の問い合わせ先に連絡してくれと記載があります。

For SPAM and other abuse issues, such as Microsoft Accounts, please contact:abuse@microsoft.com.

今日は朝から不正アクセスの検出アラートがでていましたので・・・、セキュリティの話はどちらかというと後ろ向きな話になってしまいますので、楽しい話ではないのですが、軽くご紹介してみました。

今日も一日頑張りましょう。