ハニーポット運用(月次報告:2020年11月)
今月のTopics
メール送信時にパスワード付きZIP暗号化ファイルを利用する運用が廃止される見通しだ。
平井卓也デジタル改革担当相は11月17日の定例会見で中央省庁においてパスワード付きZIP暗号化ファイルのメール送信を廃止する方針を明らかにした。
パスワード付きZIP暗号化ファイルのメール送信(PPAP)の廃止は2016年から提唱されていた。 PPAPの略は以下の通りとのこと。
- Passwordつきzip暗号化ファイルを送ります
- Passwordを送ります
- Aん号化(暗号化)
- Protocol
PPAPには以下の問題点がある。
- 暗号化によりウィルス対策ソフトが添付ファイルをスキャンできない
- パスワード付きZIP暗号化ファイルとパスワードが同一経路で送信されるため、2通に分けてメール送付しても対策として不十分になる(1通目のメールを傍受できる人は2通目も傍受できるため、分けて送付する意味がない)
内閣府と内閣官房では26日からPPAPの利用が廃止され外部ストレージサービス活用する方針になる。
内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信するとのこと。
上記を受けて、一部の民間企業でもPPAP運用廃止を表明している。
再来年あたりにはデータサイズに限らず添付ファイルのやり取りはPPAPからストレージサービスへ民間企業でも運用が変わっていく気がする。
今月のChangelog
2020/11/30
・suricata-updateによるSuricataルール管理の利用開始
2020/11/26
・suricata.yamlを6.xへアップデート
・Cowrieを2.2.0へアップデート
前提条件
運用日時:2020年11月1日-2020年11月30日
運用期間:30日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Dionaea | 5,529,842 | △924,332 |
| 2 | Cowrie | 4,751,964 | △824,667 |
| 3 | Honeytrap | 553,175 | △286,256 |
| 4 | Heralding | 359,194 | △129,679 |
| 5 | Rdpy | 129,529 | △71,421 |
| 6 | Mailoney | 74,747 | ▲13,697 |
| 7 | Tanner | 5,270 | △852 |
| 8 | Adbhoney | 4,865 | △1,060 |
| 9 | Ciscoasa | 1,249 | ▲496 |
| 10 | ElasticPot | 1,187 | △574 |
| 11 | CitrixHoneypot | 1,051 | △266 |
| 12 | ConPot | 713 | △517 |
| 13 | Medpot | 409 | △401 |
- Result
- 全体的に先月より件数が増加していた。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,738,236 | 1(→) |
| 2 | China | 968,804 | 4(↑) |
| 3 | Russia | 961,151 | 2(↓) |
| 4 | Vietnam | 952,322 | 3(↓) |
| 5 | Panama | 670,471 | 6(↑) |
| 6 | India | 626,250 | 7(↑) |
| 7 | United States | 468,754 | 5(↓) |
| 8 | Brazil | 360,063 | 8(→) |
| 9 | Indonesia | 312,750 | 9(→) |
| 10 | Venezuela | 236,305 | 10(→) |
| 11 | France | 223,935 | 圏外(↑) |
| 12 | Turkey | 200,097 | 13(↑) |
| 13 | Taiwan | 192,938 | 15(↑) |
| 14 | Thailand | 189,886 | 17(↑) |
| 15 | Ukraine | 189,516 | 14(↓) |
| 16 | Pakistan | 145,805 | 20(↑) |
| 17 | Egypt | 140,457 | 19(↑) |
| 18 | Mexico | 129,914 | 圏外(↑) |
| 19 | Japan | 127,702 | 12(↓) |
| 20 | Singapore | 110,994 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 3,032,279 |
| 2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 23 |
| 3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 16 |
| 4 | CVE-2020-8515 CVE-2020-8515 | 4 |
| 5 | CVE-2020-11910 | 3 |
| 6 | CVE-2020-11902 | 1 |
- Result
- Ripple20に関する件数が先月の50,898件から60倍に増加した。仮想通貨XRPの価格上昇もあったので、Rippleの今後の動向に注目したい。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 346,057 |
| 2 | admin | 110,732 |
| 3 | user | 54,965 |
| 4 | sa | 52,299 |
| 5 | support | 28,282 |
| 6 | test | 10,658 |
| 7 | nproc | 7,129 |
| 8 | guest | 2,988 |
| 9 | Admin | 2,367 |
| 10 | ubnt | 1,979 |
| 11 | 22 | 1,629 |
| 12 | postgres | 1,609 |
| 13 | oracle | 1,463 |
| 14 | ubuntu | 1,387 |
| 15 | git | 906 |
| 16 | ftpuser | 582 |
| 17 | mysql | 488 |
| 18 | nagios | 474 |
| 19 | student | 442 |
| 20 | hadoop | 409 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 235,932 |
| 2 | user | 52,607 |
| 3 | support | 27,905 |
| 4 | & | 17,910 |
| 5 | 123456 | 10,104 |
| 6 | test | 8,709 |
| 7 | password | 8,298 |
| 8 | nproc | 7,129 |
| 9 | 1234 | 5,694 |
| 10 | root | 4,999 |
| 11 | 3,271 | |
| 12 | 123 | 2,371 |
| 13 | ubnt | 2,352 |
| 14 | Admin | 2,248 |
| 15 | 12345678 | 2,049 |
| 16 | 12345 | 1,958 |
| 17 | guest | 1,725 |
| 18 | password123 | 1,051 |
| 19 | 1 | 1,048 |
| 20 | 1qaz2wsx | 881 |
- Result
- 先月から変更なし
最後に
- PPAPの元ネタがピコ太郎さんのペンパイナッポーアッポーペンを元にしているようだ。発想の着眼点は色々なところに転がっている。
- 2020年度のRISSのオンライン講習が11月から開始された。例年に比べて半年遅れの開始になる。12月中に終わらせる予定。 (ง •̀_•́)ง‼ガンバラナ
