Nachiと思われるICMPは、年明けとともに急激に減少したが、消滅してはいない。Nachiは2004年1月1日以降に起動された場合、活動を停止(自分自身を削除)するが、PCを再起動せずに動かし続けている限り、感染活動は停止しないためだ。しかし、ICMPは確実に減少しつつあるといっていいだろう。
なお、下の表は、2004年1月中に検出したIPアドレスの数を攻撃パターン毎+国別に分類したものだ。これを見ると、ICMPはそのほとんどがアメリカからのものであることが判る。
TCP135も同様に大きく減少したが、ICMPと違い、横這い傾向である。Nachiは、MSBlasterのセキュリティホールを塞ぐ動作をするものの、日本語版Windowsについては放置する。
したがって、日本においては、Nachiが活動停止しても依然として穴は残り、これらのPCが再びMSBlasterに感染してしまったものと考えられる。
表の数も日本がTOPであり、この考え方を裏付けている。というわけで、TCP135への攻撃は今後再び増加する可能性も考えられる。
TCP80へのアタックは、その多くが CodeRed または Nimda か。これらのワームは2001年に発見されたのだが、まだしぶとく生き残っている。ほとんどが発祥地(?)と疑われている中国からのものである。
UDP1434は、2003年2月に韓国で猛威をふるった Slammer であろう。1年経ったが、とりあえず減ってきてはいるようである。なお、韓国からのアタックは記録されていない(がんばったね、偉いぞ韓国)。
順位 | icmp | tcp80 | tcp135 | udp1434 |
---|---|---|---|---|
1 | US 25649 | CN 726 | JP 1724 | US 492 |
2 | CN 3988 | JP 90 | US 583 | CN 105 |
3 | CA 3104 | KR 90 | DE 170 | UK 54 |
4 | JP 1784 | US 61 | ES 159 | JP 54 |
5 | UK 1384 | TW 10 | FR 80 | FR 32 |
6 | TW 516 | HK 10 | SE 68 | NL 29 |
7 | HK 485 | BR 7 | UK 50 | SE 28 |
8 | KR 419 | UK 6 | CA 49 | PL 28 |
9 | AU 246 | SG 6 | IT 48 | BR 27 |
10 | SE 217 | CA 6 | TW 33 | AU 25 |