Home > Windows にまつわる e.t.c.

SMTP AUTH 攻撃傾向


最近 SMTP ログを見ると、SMTP AUTH を正面突破しようとアタックしている記録がよく目につきます。

突破されていないのはログから判別できているのですが、どんな傾向なのかが気になったので、2014/01/01 からの SMTP ログを集計してみました。

すると、2014/01 時点ですでに SMTP AUTH 攻撃は検出されていますが、件数は今より少な目で、2016/06 あたりからコンスタントにアタックが来るようになり、年々増加傾向です。(2017年は4月までの実績値から推測)

日別件数をみると、2014年はスパイクばかり目立ったていますが、次第に日常的な攻撃にシフトしているので、公開された攻撃スクリプトでライトクラッカーが攻撃に加わっていると推測されます。

攻撃対象のアカウントは、よくありがちなアカウントだけではなく、実在するアカウントへの攻撃も結構あります。

使用されたパスワードは、パスワード辞書が使われているようなので、複雑さを満たしたパスワードを使っていれば大丈夫そうですね。

攻撃元の IP アドレスは、単一ノードから大量の攻撃をし、ある程度(数分~数日)攻撃したら別のノードに移動するか IP アドレスの取り直しをしている感じです。

年別攻撃件数(2014/01/01 - 2017/05/02)

年月別攻撃件数(2014/01/01 - 2017/05/02)

攻撃に使用されたアカウントベスト100(2017/03/30-2017/05/02)

攻撃に使用されたパスワードベスト100(2017/03/30-2017/05/02)

攻撃元 IP アドレスベスト10(2014/01/01 - 2017/05/02)

 

 

back.gif (1980 バイト)

home.gif (1907 バイト)

Copyright © MURA All rights reserved.