6月1日に緊急事態宣言が解除された。
外出の規制が緩和され店舗営業も再開されつつあり、日常が少しずつ戻りつつある。
気づくと6月に入り梅雨の時期である。
本来であれば7月はオリンピック開催期間だったと考えると
世の中何が起こるか本当に分からない。
T-Potにて1か月運用した結果を記載する。
前提条件
運用日時:2020年5月1日-2020年5月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No |
ハニーポット |
件数 |
先々月比 |
1 |
Dionaea |
4,285,355 |
▲4,247,982 |
2 |
Cowrie |
3,869,490 |
△1,154,410 |
3 |
Heralding |
2,049,720 |
△454,851 |
4 |
Honeytrap |
239,282 |
▲279,872 |
5 |
Rdpy |
72,034 |
△31,109 |
6 |
Tanner |
8,571 |
△4,455 |
7 |
Mailoney |
5,578 |
△4,067 |
8 |
Adbhoney |
3,797 |
▲1,142 |
9 |
Ciscoasa |
2,886 |
△1,240 |
10 |
ElasticPot |
1,577 |
△1,089 |
11 |
ConPot |
114 |
- |
12 |
Medpot |
5 |
- |
- Result
- Dionaeaへの攻撃件数が大幅に減少し、CowrieとHeraldingへの攻撃件数が増加していた。
②攻撃元の国名と件数(Top 20)
No |
攻撃元の国名 |
件数 |
先月順位 |
1 |
Russia |
1,579,958 |
2(↑) |
2 |
Ireland |
856,508 |
5(↑) |
3 |
China |
789,105 |
1(↓) |
4 |
Vietnam |
677,299 |
3(↓) |
5 |
Panama |
403,694 |
15(↑) |
6 |
United States |
364,218 |
9(↑) |
7 |
Republic of Moldova |
348,450 |
16(↑) |
8 |
Japan |
321,746 |
7(↓) |
9 |
Bulgaria |
318,133 |
6(↓) |
10 |
Netherlands |
287,231 |
20(↑) |
11 |
India |
283,409 |
13(↑) |
12 |
Brazil |
247,433 |
14(↑) |
13 |
Venezuela |
243,679 |
17(↑) |
14 |
Indonesia |
202,545 |
10(↓) |
15 |
France |
182,049 |
10(↓) |
16 |
Taiwan |
179,869 |
8(↓) |
17 |
Turkey |
157,552 |
18(↑) |
18 |
Ukraine |
142,485 |
11(↓) |
19 |
United Kingdom |
123,535 |
圏外(↑) |
20 |
Thailand |
115,859 |
圏外(↑) |
- Result
- ロシア(1位)が1位に返り咲いた。4位までは先月と比べて変わりないが、パナマ(5位)、モルドバ共和国(7位)の攻撃件数が2倍近く増加していた。
- 中国からの攻撃件数は100万件ほど減少している。攻撃キャンペーンは下火になりつつある。(米中摩擦の影響でまた増えそうでもあるが)
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No |
CVE ID |
CNT |
1 |
CVE-2020-8515 CVE-2020-8515 |
98 |
2 |
CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 |
65 |
3 |
CVE-2019-0708 CVE-2019-0708 |
39 |
4 |
CVE-2020-11651 CVE-2020-11651 |
4 |
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No |
ユーザ名 |
件数 |
1 |
root |
254,273 |
2 |
admin |
126,968 |
3 |
support |
9,403 |
4 |
nproc |
6,080 |
5 |
user |
4,338 |
6 |
test |
3,118 |
7 |
postgres |
2,244 |
8 |
sa |
2,166 |
9 |
ubuntu |
1,743 |
10 |
sh |
1,348 |
11 |
enable |
1,243 |
12 |
deploy |
1,215 |
13 |
ping ; sh |
1,029 |
14 |
default |
907 |
15 |
oracle |
855 |
16 |
guest |
795 |
17 |
git |
741 |
18 |
ftpuser |
581 |
19 |
mysql |
538 |
20 |
666666 |
536 |
- Result
- MSSQLのユーザ名であるsaの攻撃件数が減少しroot(1位),admin(2位)などのサーバログイン用のユーザ名の攻撃件数が多い傾向があった。
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No |
パスワード |
件数 |
1 |
admin |
239,570 |
2 |
& |
33,889 |
3 |
123456 |
23,798 |
4 |
support |
9,224 |
5 |
password |
7,093 |
6 |
nproc |
6,080 |
7 |
|
6,075 |
8 |
12345678 |
6,050 |
9 |
123 |
3,188 |
10 |
user |
2,401 |
11 |
Password |
2,231 |
12 |
12345 |
1,942 |
13 |
root |
1,712 |
14 |
1234 |
1,646 |
15 |
1q2w3e4r |
1,401 |
16 |
system |
1,335 |
17 |
shell |
1,273 |
18 |
/bin/busybox FBOT |
995 |
19 |
test |
896 |
20 |
1qaz2wsx |
872 |
- Result
- 攻撃件数については先月より大きな変更点は無し。
- 18位の/bin/busybox FBOTはHajimeボットの特徴に類似している。
mirai以外のmalwareによるIoT機器への攻撃が増加している。
最後に
- 各国で緊急事態宣言が解除され、ポストコロナへの動きが加速している。
- ①各ハニーポットで検知したAttack件数 ではDionaeaの攻撃件数が減少し、④よく攻撃されるユーザ名でsaユーザへの攻撃が減少したことから従来のMSSQLサーバへの攻撃からリモートワークで利用される端末やサーバなどの攻撃へ傾向が遷移していると感じた。
- ②攻撃元の国名と件数(Top 20) で確認したパナマやモルドバ共和国からの攻撃件数増加があった。Hajimeボットの攻撃件数増加と関連付けた場合、⽇本国内ではあまり普及していない機器を攻撃対象とすることから有意な関連がある可能性もある。一過性の傾向であるかは継続して確認を進めたい。