SMTP AUTH 攻撃傾向

最近 SMTP ログを見ると、SMTP AUTH を正面突破しようとアタックしている記録がよく目につきます。

突破されていないのはログから判別できているのですが、どんな傾向なのかが気になったので、2014/01/01 からの SMTP ログを集計してみました。

すると、2014/01 時点ですでに SMTP AUTH 攻撃は検出されていますが、件数は今より少な目で、2016/06 あたりからコンスタントにアタックが来るようになり、年々増加傾向です。(２０１７年は４月までの実績値から推測)

日別件数をみると、2014年はスパイクばかり目立ったていますが、次第に日常的な攻撃にシフトしているので、公開された攻撃スクリプトでライトクラッカーが攻撃に加わっていると推測されます。

攻撃対象のアカウントは、よくありがちなアカウントだけではなく、実在するアカウントへの攻撃も結構あります。

使用されたパスワードは、パスワード辞書が使われているようなので、複雑さを満たしたパスワードを使っていれば大丈夫そうですね。

攻撃元の IP アドレスは、単一ノードから大量の攻撃をし、ある程度(数分～数日)攻撃したら別のノードに移動するか IP アドレスの取り直しをしている感じです。