最近首都封鎖が現実味を帯びてきており、社会生活へも影響が出始めている。
日本だけではなく全世界的な影響がある中、ハニーポット運用へはどのような影響があるのだろうか。
ピンチはチャンスであり、手痛く負けた時こそ胸を張る必要がある。
苦しい今だからこそ賭博堕天録カイジのこの言葉を思い出してみたい。(筆者は賭けごとをやらないが、勝ち負けの要素を念頭に置くことは、向上心を伸ばすために重要である。)
堂々といけっ…!やばい時ほど堂々と…
T-Potにて31日間運用した結果を記載する。
前提条件
運用日時:2020年3月1日-2020年3月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No |
ハニーポット |
件数 |
先々月比 |
1 |
Dionaea |
8,500,995 |
▲1,507,457 |
2 |
Cowrie |
3,297,236 |
△269,454 |
3 |
Heralding |
1,913,301 |
△1,365,677 |
4 |
Honeytrap |
620,753 |
△381540 |
5 |
Rdpy |
42,869 |
△21415 |
6 |
Mailoney |
26,568 |
▲9136 |
7 |
Adbhoney |
5,906 |
△720 |
8 |
Tanner |
5,843 |
▲1775 |
9 |
Medpot |
3,254 |
- |
10 |
Ciscoasa |
1,408 |
△1257 |
11 |
ConPot |
90 |
▲90 |
12 |
ElasticPot |
67 |
△28 |
- Result
- Dionaeaへの攻撃件数が減少し、それ以外は軒並み増加している。
②攻撃元の国名と件数(Top 20)
No |
攻撃元の国名 |
件数 |
先月順位 |
1 |
Russia |
1,478,479 |
3(↑) |
2 |
Vietnam |
1,078,839 |
2(→) |
3 |
Japan |
932,503 |
4(↑) |
4 |
China |
916,413 |
5(↑) |
5 |
India |
862,226 |
8(↑) |
6 |
Ireland |
703,426 |
6(→) |
7 |
Taiwan |
604,529 |
18(↑) |
8 |
Brazil |
512,974 |
10(↑) |
9 |
Bulgaria |
498,011 |
11(↑) |
10 |
United States |
468,430 |
9(↓) |
11 |
Indonesia |
446,330 |
7(↓) |
12 |
Republic of Moldova |
407,786 |
16(↑) |
13 |
Thailand |
352,275 |
圏外(↑) |
14 |
Ukraine |
300,745 |
圏外(↑) |
15 |
Philippines |
203,702 |
圏外(↑) |
16 |
Netherlands |
181,686 |
13(↓) |
17 |
Venezuela |
178,084 |
12(↓) |
18 |
France |
168,029 |
1(↓) |
19 |
Republic of Korea |
141,664 |
20(↑) |
20 |
Pakistan |
136,168 |
圏外(↑) |
- Result
- ロシアが1位に返り咲いた。ベトナムが安定の2位に入り、日本が3位、中国4位、インドが5位の結果になった。
- 日本のアクセス元は先月に引き続きさくらインターネット様の大阪からのアクセスが多いようだ。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No |
CVE ID |
CNT |
1 |
CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 |
314 |
2 |
CVE-2019-0708 CVE-2019-0708 |
39 |
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No |
ユーザ名 |
件数 |
1 |
root |
222,279 |
2 |
sa |
216,467 |
3 |
admin |
129,280 |
4 |
user |
9,374 |
5 |
support |
6,323 |
6 |
nproc |
5,825 |
7 |
sh |
2,729 |
8 |
enable |
1,853 |
9 |
test |
1,550 |
10 |
linuxshell |
1,219 |
11 |
postgres |
1,087 |
12 |
www |
750 |
13 |
oracle |
682 |
14 |
666666 |
621 |
15 |
default |
619 |
16 |
guest |
619 |
17 |
ubuntu |
609 |
18 |
22 |
573 |
19 |
mail |
445 |
20 |
git |
398 |
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No |
パスワード |
件数 |
1 |
admin |
211,892 |
2 |
& |
44,247 |
3 |
123456 |
17,213 |
4 |
password |
11,684 |
5 |
123 |
9,505 |
6 |
12345678 |
9,128 |
7 |
user |
8,084 |
8 |
support |
6,276 |
9 |
nproc |
5,795 |
10 |
12345 |
4,413 |
11 |
password123 |
3,774 |
12 |
root |
3,513 |
13 |
1234 |
2,721 |
14 |
shell |
2,660 |
15 |
|
2,420 |
16 |
Password |
2,358 |
17 |
1q2w3e4r |
2,036 |
18 |
system |
2,006 |
19 |
123456789 |
1,982 |
20 |
qwerty |
1,783 |
最後に
- 日本国内、海外ともに移動が制限されリモートワークをする機会が増えてきている。Skype、Googleハングアウトなどの無料なものから有料のLite FreshVoice、LoopGate、ZoomなどでWeb会議を実施する機会も多くなる。 そのため、リモートワークの脆弱性に特化した攻撃の増加傾向については今後注意して観察していきたいと思う。
原因は?
- Zoom ClientはURLだけでなくUNCパスもハイパーリンクへ変換する。
- Zoom Client側のWindows10端末がUNCパスを含むURLへアクセスする際にNTLM認証のハッシュ値がアクセス先へ送付されてしまう。
何が問題か?
- 送付されたNTLM認証のハッシュ値を解析することでユーザ名/パスワードを解析されてしまう可能性がある。
対策はないの?
クライアント側のローカルグループポリシーの設定を変更し、共有ファイルを提供するリモートのSMBサーバへNTLM認証情報を送付しない
(クライアント側で発生する脆弱性のため、T-Potで観測することはできないが機会があればクライアント環境を整備して試してみたいところである。)
Zoom以外のWeb会議用ツールにも類似の脆弱性は多く潜んでいると思われるので、会社のリモートワークで機密情報をやり取りする際は注意して運用すべきだろう。