Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年1月)

今月のTopics

1/28未明から1/29に掛けてソースコード共有サービス「GitHub」を介した情報漏洩が発覚した。
ソースコード開発者が転職準備のために年収診断サイトへ提出したソースコードに業務にて委託開発されたコードが含まれていた。

www.itmedia.co.jp

SMBCNTTデータ ジェトロニクスやNEC警察庁、Profit Cubeなどのソースコードがふくまれており、社会的にも大きく取り上げられた。
コンプライアンス違反であるが完全に防ぐ方法は多くの抜け道もあるため、極めて難しい。
本事例を元にしてGithubが利用禁止にするのではなく、2/2 CSAJの「GitHubに関する対応とお願い」の呼びかけであったように、 利用方法を組織内で周知した上で、周知した内容を準拠させる仕組み作りが重要である。

https://www.csaj.jp/NEWS/pr/210202_github.htmlwww.csaj.jp

今月のChangelog

2021/01/19

・Dionaeaを0.11.0にバージョンアップ

2021/01/06

・インターネットIF検索の更新

前提条件

運用日時:2021年1月1日-2021年1月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Dionaea 5,882,378 △1,276,868
2 Cowrie 4,829,633 △902,336
3 Honeytrap 1,144,732 △877,813
4 Heralding 201,232 ▲28,283
5 Rdpy 78,739 △20,631
6 Medpot 5,243 △5,235
7 Mailoney 4,988 ▲83,456
8 Tanner 4,241 ▲177
9 Adbhoney 3,625 ▲180
10 CitrixHoneypot 1,178 △393
11 Ciscoasa 1,085 ▲660
12 ElasticPot 987 △374
13 ConPot 688 △680
  • Result
    • DionaeaやCowrieの件数が多いのはいつも通り。
    • スパムメール検知数が先月より減少した。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,984,315 1(→)
2 Russia 1,383,795 2(→)
3 Vietnam 1,054,305 3(→)
4 China 808,528 4(→)
5 United States 728,049 5(→)
6 India 632,766 7(↑)
7 Panama 579,334 6(↓)
8 Brazil 355,480 8(→)
9 Indonesia 312,040 9(→)
10 Venezuela 275,159 10(→)
11 Turkey 217,863 13(↑)
12 Ukraine 211,326 14(↑)
13 Taiwan 210,079 15(↑)
14 Thailand 196,597 17(↑)
15 Romania 182,992 圏外(↑)
16 Pakistan 153,753 20(↑)
17 France 137,343 圏外(↑)
18 Egypt 132,210 19(↑)
19 Mexico 128,768 圏外(↑)
20 Philippines 113,488 圏外(↑)

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 4,080,540
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 204
2 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 33
  • Result
    • Ripple20の攻撃は継続して多い。
    • 新規の攻撃は無し。

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No ユーザ名 件数
1 root 390,158
2 admin 83,599
3 user 36,270
4 support 28,484
5 sa 16,202
6 test 5,953
7 nproc 5,420
8 ubnt 4,878
9 guest 2,982
10 ubuntu 2,297
11 postgres 2,153
12 oracle 1,563
13 22 1,558
14 ftpuser 1,131
15 git 1,094
16 Admin 868
17 deploy 707
18 minecraft 648
19 testuser 617
20 mysql 597
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No パスワード 件数
1 admin 310,768
2 user 30,876
3 support 28,099
4 root 14,527
5 password 8,938
6 123456 8,506
7 nproc 5,420
8 ubnt 5,257
9 & 4,738
10 1234 4,308
11 3,591
12 123 2,935
13 12345 1,875
14 test 1,860
15 1 1,653
16 Password 1,324
17 12345678 1,069
18 guest 1,053
19 1q2w3e4r 865
20 123123 814
  • Result
    • 先月から変更なし

最後に

  • T-PotのChangelogが更新されていたので、先月以前のChangelogも見直した。
  • 日本ではコロナウィルスのワクチン接種が2/17より開始され、感染症対策に進展が見られた。
    東京オリンピック開催は依然として不透明だが、まずは一歩前進であろう。
    個人的には、昨年身内の入院後に面会できないまま棺での再会となったので、今年中には病院内でお見舞いで面会できるようになってほしいと切に思う。