ハニーポット運用(月次報告:2020年9月)
今月のTopics
2020年9月はキャッシュレス決済における重大なセキュリティインシデントが発生した。 NTTドコモの電子マネー決済サービス「ドコモ口座」の不正利用が明らかになり 被害件数、被害規模は9月27日時点で全国11の銀行で合計219件、被害額は2,848万円にまでのぼった。
またゆうちょ銀行においても「ドコモ口座」など、連携している電子決済サービスのほか、 銀行が発行するデビット・プリペイドカードの「mijica」でも不正な貯金の引き出しが発生した。 2017年7月から9月22日までの間におよそ380件、金額にしておよそ6000万円にのぼっている。
被害金額の保障を含めたインシデント対応のコストを考えた場合、セキュリティ対策用の予算を 確保することが無駄ではないと、再認識させられるだろう。
今月のChangelog
2020/09/04
・T-Pot 20.06.1のリリース
・Elastic Stack 7.9.1へのアップデート
・docker imagesの再構築
・古くなったreferencesやリンクの削除
前提条件
運用日時:2020年09月01日-2020年09月30日
運用期間:30日
運用結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Dionaea | 5354269 | △748,759 |
| 2 | Cowrie | 3944126 | △16,829 |
| 3 | Honeytrap | 466006 | △199,087 |
| 4 | Heralding | 278798 | △49,283 |
| 5 | Rdpy | 147490 | △89,382 |
| 6 | Mailoney | 48943 | ▲39,501 |
| 7 | Adbhoney | 4998 | △1,193 |
| 8 | Tanner | 3975 | ▲443 |
| 9 | Ciscoasa | 3372 | △1,627 |
| 10 | CitrixHoneypot | 1006 | △221 |
| 11 | ElasticPot | 557 | ▲56 |
| 12 | ConPot | 64 | ▲132 |
| 13 | Medpot | 3 | ▲5 |
- Result
- Mailoneyの件数が先月より減少。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,717,148 | 1(→) |
| 2 | Vietnam | 930,133 | 3(↑) |
| 3 | Russia | 927,028 | 2(↓) |
| 4 | China | 566,515 | 4(→) |
| 5 | India | 498,619 | 7(↑) |
| 6 | United States | 458,301 | 5(↓) |
| 7 | Panama | 445,621 | 6(↓) |
| 8 | Brazil | 327,419 | 8(→) |
| 9 | Indonesia | 292,408 | 9(→) |
| 10 | Netherlands | 263,058 | 18(↑) |
| 11 | Germany | 242,825 | 11(→) |
| 12 | Japan | 239,427 | 12(→) |
| 13 | Venezuela | 229,258 | 10(↓) |
| 14 | Republic of Moldova | 216,311 | 16(↑) |
| 15 | France | 205,947 | 圏外(↑) |
| 16 | Turkey | 204,922 | 13(↓) |
| 17 | Taiwan | 165,389 | 15(↓) |
| 18 | Thailand | 149,033 | 17(↓) |
| 19 | Ukraine | 142,056 | 14(↓) |
| 20 | Egypt | 113,973 | 19(↓) |
- Result
- アクセス数の多い国の動向について先月より変更なし。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 55,549 |
| 2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 967 |
| 3 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 34 |
| 4 | CVE-2020-8515 CVE-2020-8515 | 11 |
| 5 | CVE-2020-11910 | 9 |
| 6 | CVE-2017-6316 CVE-2017-6316 | 4 |
参考URL
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 316,357 |
| 2 | admin | 69,067 |
| 3 | sa | 45,749 |
| 4 | support | 19,509 |
| 5 | guest | 19,067 |
| 6 | user | 13,762 |
| 7 | ubnt | 7,470 |
| 8 | nproc | 5,176 |
| 9 | test | 4,939 |
| 10 | Admin | 3,149 |
| 11 | postgres | 2,260 |
| 12 | 22 | 1,753 |
| 13 | ubuntu | 1,544 |
| 14 | oracle | 1,326 |
| 15 | git | 907 |
| 16 | www | 644 |
| 17 | ftpuser | 606 |
| 18 | mysql | 520 |
| 19 | deploy | 447 |
| 20 | nagios | 440 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 232,134 |
| 2 | & | 27,226 |
| 3 | root | 20,703 |
| 4 | support | 19,364 |
| 5 | user | 11,964 |
| 6 | 10,587 | |
| 7 | guest | 10,305 |
| 8 | ubnt | 7,856 |
| 9 | 123456 | 6,136 |
| 10 | password | 6,035 |
| 11 | nproc | 5,176 |
| 12 | 12345678 | 3,745 |
| 13 | test | 3,568 |
| 14 | Admin | 2,964 |
| 15 | 1234 | 2,944 |
| 16 | 123 | 2,120 |
| 17 | 12345 | 1,715 |
| 18 | Password | 1,138 |
| 19 | 1 | 904 |
| 20 | 1q2w3e4r | 849 |
- Result
8月に観測された不思議なパスワード
aqweasdfgfdgfdhが圏外だが9月も観測されていた。
内訳としてはMicrosoft-SQL-Server向けの1433ポートに対するアクセスであり定期的に中国、インドネシア、北朝鮮などから受けている。意味のある文字列には見えないため、exploitツールに仕込まれた文字だろうか?
- 同じことを疑問に思われた方がいたようだ。
twitter.com
最後に
- 2020年9月の日本国内からSatoriマルウェアによりアクセスされた回数は2件だけだった。
- 10/10 15時からのSECCON2020に筆者も参加予定。1問だけでも解答を目指す。(ง •̀_•́)ง‼
