私のパソコンのファイヤーウォールログに 135 ポートのアクセス記録が残っています。そこで今回の MSBlast のログ分析を行ってみました。

　135 ポートの最初のアクセスは 2003/04/07 07:38:09 に 66.14.180.201 から行われています。MSBlast の攻撃は 2003/08/12 頃なので、それまでに317回のポートスアクセスを受けていました。何の為なのか４月の段階で 135 ポートアクセスが行われているのには驚きです。

　MSBlast と思われる 135 ポートのアクセスは 8/12 からです。上記グラフは横軸が８月の日付けで、 8/12 から一時間毎の度数分布です。二回に分かれているのがちょっと気になります。

　秋田ケーブルテレビ内のPCからのアクセスが開始されたのは 2003/08/12 02:37:03 で 61.196.112.28 が最初でした。

　上記グラフは横軸が８月の日付けで秋田ケーブルテレビ内のPCから受けたアクセスの毎時の度数分布です。

　上記グラフで、黒はアクセスされた全体の度数分布です。赤は秋田ケーブルテレビ内のPCからのアクセス度数分布です（毎時）。

　面白い事に、初期の多くは秋田ケーブルテレビ内のＰＣからのアクセスでした。外からのアクセスが多くなるのは 8/13 の10時以降になってからです。比較的早い段階で秋田ケーブルテレビ内のＰＣが感染したと思われます。

　その後 2003/08/13 11:20 頃から秋田ケーブルテレビ内のＰＣからのアクセスが激減し昼過ぎには殆ど無くなっています。この頃に秋田ケーブルテレビで 135 ポートのフィルタリング開始したのだと思います。

　この間に秋田ケーブルテレビで MSBlast に感染したと思われる PC の数をカウントしてみたら 321 台もありました。初期の段階で300台以上のＰＣが感染したというのは多いのでしょうか。それとも少ないのでしょうか。私には判りません。

以上

　ちなみに、このデータ処理と作図は CalendarMemo で行っております。この程度の処理は CalendarMemo で出来るので試してみてはいかがでしょうか。