ハニーポット運用(月次報告:2021年1月)
今月のTopics
1/28未明から1/29に掛けてソースコード共有サービス「GitHub」を介した情報漏洩が発覚した。
ソースコード開発者が転職準備のために年収診断サイトへ提出したソースコードに業務にて委託開発されたコードが含まれていた。
SMBC、NTTデータ ジェトロニクスやNEC、警察庁、Profit Cubeなどのソースコードがふくまれており、社会的にも大きく取り上げられた。
コンプライアンス違反であるが完全に防ぐ方法は多くの抜け道もあるため、極めて難しい。
本事例を元にしてGithubが利用禁止にするのではなく、2/2 CSAJの「GitHubに関する対応とお願い」の呼びかけであったように、
利用方法を組織内で周知した上で、周知した内容を準拠させる仕組み作りが重要である。
https://www.csaj.jp/NEWS/pr/210202_github.htmlwww.csaj.jp
今月のChangelog
2021/01/19
・Dionaeaを0.11.0にバージョンアップ
2021/01/06
・インターネットIF検索の更新
前提条件
運用日時:2021年1月1日-2021年1月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Dionaea | 5,882,378 | △1,276,868 |
2 | Cowrie | 4,829,633 | △902,336 |
3 | Honeytrap | 1,144,732 | △877,813 |
4 | Heralding | 201,232 | ▲28,283 |
5 | Rdpy | 78,739 | △20,631 |
6 | Medpot | 5,243 | △5,235 |
7 | Mailoney | 4,988 | ▲83,456 |
8 | Tanner | 4,241 | ▲177 |
9 | Adbhoney | 3,625 | ▲180 |
10 | CitrixHoneypot | 1,178 | △393 |
11 | Ciscoasa | 1,085 | ▲660 |
12 | ElasticPot | 987 | △374 |
13 | ConPot | 688 | △680 |
- Result
- DionaeaやCowrieの件数が多いのはいつも通り。
- スパムメール検知数が先月より減少した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Ireland | 1,984,315 | 1(→) |
2 | Russia | 1,383,795 | 2(→) |
3 | Vietnam | 1,054,305 | 3(→) |
4 | China | 808,528 | 4(→) |
5 | United States | 728,049 | 5(→) |
6 | India | 632,766 | 7(↑) |
7 | Panama | 579,334 | 6(↓) |
8 | Brazil | 355,480 | 8(→) |
9 | Indonesia | 312,040 | 9(→) |
10 | Venezuela | 275,159 | 10(→) |
11 | Turkey | 217,863 | 13(↑) |
12 | Ukraine | 211,326 | 14(↑) |
13 | Taiwan | 210,079 | 15(↑) |
14 | Thailand | 196,597 | 17(↑) |
15 | Romania | 182,992 | 圏外(↑) |
16 | Pakistan | 153,753 | 20(↑) |
17 | France | 137,343 | 圏外(↑) |
18 | Egypt | 132,210 | 19(↑) |
19 | Mexico | 128,768 | 圏外(↑) |
20 | Philippines | 113,488 | 圏外(↑) |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | CNT |
---|---|---|
1 | CVE-2020-11899 | 4,080,540 |
2 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 204 |
2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 33 |
- Result
- Ripple20の攻撃は継続して多い。
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 20)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 390,158 |
2 | admin | 83,599 |
3 | user | 36,270 |
4 | support | 28,484 |
5 | sa | 16,202 |
6 | test | 5,953 |
7 | nproc | 5,420 |
8 | ubnt | 4,878 |
9 | guest | 2,982 |
10 | ubuntu | 2,297 |
11 | postgres | 2,153 |
12 | oracle | 1,563 |
13 | 22 | 1,558 |
14 | ftpuser | 1,131 |
15 | git | 1,094 |
16 | Admin | 868 |
17 | deploy | 707 |
18 | minecraft | 648 |
19 | testuser | 617 |
20 | mysql | 597 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 20)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | admin | 310,768 |
2 | user | 30,876 |
3 | support | 28,099 |
4 | root | 14,527 |
5 | password | 8,938 |
6 | 123456 | 8,506 |
7 | nproc | 5,420 |
8 | ubnt | 5,257 |
9 | & | 4,738 |
10 | 1234 | 4,308 |
11 | 3,591 | |
12 | 123 | 2,935 |
13 | 12345 | 1,875 |
14 | test | 1,860 |
15 | 1 | 1,653 |
16 | Password | 1,324 |
17 | 12345678 | 1,069 |
18 | guest | 1,053 |
19 | 1q2w3e4r | 865 |
20 | 123123 | 814 |
- Result
- 先月から変更なし