Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2021年03月)

2021/3/23 LINE株式会社にて社内の個人情報の取扱いに対する説明会見が行われた。

linecorp.com

www.security-next.com

業務委託先の中国拠点からLINEトーク内の画像・動画・ファイルデータに加えて、LINE Payの決済情報や加盟店の銀行口座番号を含む企業情報へアクセスできる状態であった。また、LINE社から自治体向けの説明にて、取り扱う個人情報は日本国内のデータセンタで管理する説明があり、事実と異なる点があった。
顛末を受け、3/19までに総務省にてLINEの利用を停止すると共に3/26までに各自治体でのLINE利用について各自治体向けに実態調査が行われた。

www.soumu.go.jp

active.nikkeibp.co.jp

LINE株式会社では4/19に総務省に対し個人情報の取り組み改善策について説明を行う予定となっている。

オフショア開発などクラウドサービスを利用た開発をする場合にて、パラメータ設定誤りや認識不足により簡単に国外へデータを持ち出せてしまうため、
輸出禁止の申請書に誓約をしておきながら、気付かない内に国外へデータが持ち出していたというような問題にならないように個人情報のデータ管理には 改めて気を付けたいところである。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

3月は無し。

前提条件

運用日時:2021年3月1日-2021年3月31日
運用期間:31日

結果

①各ハニーポットで検知したAttack件数
No ハニーポット 件数 先月比
1 Dionaea 5,903,126 △760,920
2 Cowrie 4,449,041 ▲105,647
3 Heralding 756,819 △84,763
4 Honeytrap 352,790 ▲749,719
5 Rdpy 101,881 ▲7,524
6 Mailoney 25,771 △17,299
7 Adbhoney 15,616 △8,124
8 Tanner 6,894 △3,382
9 Ciscoasa 2,526 △852
10 ConPot 1,499 △723
11 CitrixHoneypot 1,394 △130
12 ElasticPot 976 △118
13 Medpot 197 △143
  • Result
    • Honeytrapへのアクセス件数が70%減少した。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Ireland 1,622,087 1(→)
2 Russia 1,224,947 2(→)
3 Vietnam 1,039,462 3(→)
4 China 855,626 6(↑)
5 Netherlands 783,929 7(↑)
6 India 728,853 3(↓)
7 United States 456,397 5(↓)
8 Panama 438,417 8(→)
9 Brazil 366,890 9(→)
10 Indonesia 283,992 10(→)
11 Venezuela 244,373 12(↑)
12 Turkey 231,087 13(↑)
13 Thailand 216,775 15(↑)
14 Taiwan 212,371 14(→)
15 Mexico 157,163 16(↑)
16 Egypt 156,149 圏外(↑)
17 Pakistan 151,963 18(↑)
18 Bulgaria 144,875 17(↓)
19 Ukraine 129,869 圏外(↑)
20 Philippines 103,986 圏外(↑)
  • Result
    • 先月と同じアクセス件数の順位で推移していた。
    • エジプト(16位)、ウクライナ(19位)、フィリピン(20位)がランクイン

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID CNT
1 CVE-2020-11899 3,860,827
2 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 257
3 CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 37
4 CVE-2020-14882 CVE-2020-14882 2
5 CVE-2020-11910 1
6 CVE-2020-8515 CVE-2020-8515 1
  • Result
    • 新規の攻撃は無し。

④よく攻撃されたユーザ名
  • ユーザ名でよく攻撃されたキーワード(Top 50)を記載する。
No ユーザ名 件数
1 root 309,739
2 admin 119,314
3 user 33,115
4 support 21,872
5 test 10,499
6 101 6,388
7 nproc 5,452
8 sa 3,013
9 guest 2,811
10 ubuntu 2,386
11 postgres 2,357
12 22 1,528
13 Admin 1,400
14 oracle 1,266
15 git 1,146
16 ftpuser 1,073
17 student 962
18 ubnt 906
19 deploy 718
20 minecraft 670
21 testuser 633
22 mysql 593
23 user1 559
24 www 547
25 server 545
26 494
27 teamspeak 491
28 ftp 489
29 jenkins 487
30 administrator 457
31 ts3 447
32 web 432
33 hadoop 421
34 nagios 394
35 tomcat 387
36 dev 378
37 sysadmin 369
38 666666 361
39 alex 358
40 steam 334
41 ts 328
42 odoo 320
43 test1 320
44 debian 308
45 vnc 300
46 sinusbot 299
47 vbox 289
48 webmaster 277
49 tester 275
50 teamspeak3 263
  • Result
    • 先月から変更なし

⑤よく攻撃されたパスワード
  • パスワードでよく攻撃されたキーワード(Top 50)を記載する。
No パスワード 件数
1 admin 238,732
2 root 32,022
3 user 24,748
4 support 21,351
5 & 13,741
6 123456 9,787
7 101 6,328
8 password 5,951
9 nproc 5,452
10 1234 4,276
11 4,107
12 test 4,075
13 123 3,491
14 12345 1,843
15 1 1,643
16 ubnt 1,253
17 guest 1,220
18 Admin 1,197
19 12345678 1,126
20 aqweasdfgfdgfdh 1,004
21 123123 853
22 1q2w3e4r 720
23 123456789 644
24 1qaz2wsx 611
25 pass 540
26 p@ssw0rd 506
27 P@ssw0rd 490
28 666666 486
29 qwerty 477
30 alpine 469
31 master 461
32 passw0rd 456
33 test123 442
34 123qwe 424
35 1234567 418
36 111111 415
37 backup 413
38 abc123 384
39 123321 379
40 admin123 346
41 password123 337
42 1qaz@WSX 334
43 hi3518 331
44 qwe123 319
45 Password 316
46 pass123 297
47 1234567890 280
48 a 280
49 qwerty123 268
50 q1w2e3r4 245
  • Result
    • 先月から変更なし

最後に

  • 「④よく攻撃されたユーザ名」「⑤よく攻撃されたパスワード」について20件⇒50件へ拡大した。
  • 大抵はIoTマルウェアのユーザ名/パスワードが大半だが、少ないアクセス件数の中にも脆弱性スキャンの兆候や面白い情報が含まれているので今月より含めることにした。
  • 「⑤よく攻撃されたパスワード」に普段よく使うパスワードが含まれていないか是非、一度ご確認いただきたい。