[Cyber Defense Map]
(地図を拡大したり、丸い部分をクリックやタップすると、どんどんと詳細を表示し、最終的にそこから来た攻撃の履歴と内容が参照できます。)
我が家のWebサーバやMailサーバへのアクセスを自家製ツールで常時監視し、攻撃とみなしたアクセスをFWで防御し、IPジオロケーションを取得して記録する一連の動作をプログラミングし、自動的に実行しております。そして、それらをクラスタマップにリアルタイムで参照表示できるようにしています。(補足、IPアドレス、位置情報については悪用されちゃいけないので少し補正やマスクをかけています。リアルタイムといいながら、そこまであやしいアクセスがあるわけではないので、実際はたまにしか更新されていない感じです。😅)
一般的にインターネットに公開しているサーバは1日に数千件の攻撃を受けると言われています。このサーバも同じく日々攻撃の危険にさらされている状況です。そのため、常時監視して自動で防御したり、ログファイル等を解析して手動で防御しています。その中でも自動で防御したものが、このマップの表示対象となっています。そして、興味のあるところですが、戦争や紛争、政治的イベントとかが始まると関連する場所のIPアドレスが増えてくる傾向があったりします。一般的には侵入されたサーバをいくつも経由して攻撃して来ると言われますが、それらを除くと、海外のデジタル化が進んでいる国ほど多くなっていますね。そういった活動があるのかなぁ?不思議なのは、あっても良さそうな某弾道ミサイル国からのアクセスが無いですね。他には、よく調べてないのですが、もしかすると、ほとんどのアクセスがTor(The Onion Router)やVPNの出口からのアクセスかもしれないですね。
今思えば、表示対象の日付を期間で指定する機能があったら、情報の分析ができたのになぁ、、、。
2024.05.06 このページを公開しました。
2024.05.25 最後の地点まで絞り込んだときに複数の情報が存在したら、その履歴を新しい順にリストで表示するようにしました。
2024.05.26 防御した情報のアプリケーションのタイプと攻撃とみなした内容の一部を表示するようにしました。(最初なので、ほとんどの情報がnoneとなります)
2024.06.01 名称等の表現を変更しました。「Attack」から「Defense」に、「ブロック」から「防御」にしました。ちょっとしたこだわりです。