ハニーポット運用(月次報告:2021年4月)
今月のTopics
2021年4月13日 株式会社カプコンにて不正アクセスに関する調査結果に対するプレスリリースがされた。
旧型VPN装置を踏み台としたサイバー攻撃により、社内ネットワークへ不正侵入が発生し、ランサムウェア被害と脅迫が犯行グループ「Ragnar Locker」から行なわれた。
IPA様から発表された「情報セキュリティ10大脅威 2021」にもある通り、ランサムウェア被害が増加傾向にある模様だ。
ランサムウェアにより暗号化したデータを復旧するための 金銭要求に加え、暗号化する前にデータを窃取しておき、 支払わなければデータを公開する等と脅迫する 「二重の脅迫(double extortion)」と呼ばれる攻撃も確認 されている。 近年、個人よりも多額の金銭の支払いを見込めるためか、 組織が狙われやすい傾向にある。
最近は暗号化データの復旧だけでなく社外秘情報の漏洩に対する2重の金銭要求が多いとのこと。犯行グループの脅し方のこなれた感じが、腹立たしい。
今月のChangelog
更新無し。
前提条件
運用日時:2021年4月1日-2021年4月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Cowrie | 4,698,514 | △249,473 |
| 2 | Dionaea | 2,422,623 | ▲3,480,503 |
| 3 | Heralding | 922,215 | △165,396 |
| 4 | Honeytrap | 514,599 | △161,809 |
| 5 | Rdpy | 123,853 | △21,972 |
| 6 | Mailoney | 24,996 | ▲775 |
| 7 | Adbhoney | 14,392 | ▲1,224 |
| 8 | Tanner | 4,969 | ▲1,925 |
| 9 | Ciscoasa | 3,933 | △1,407 |
| 10 | ConPot | 2,329 | △830 |
| 11 | CitrixHoneypot | 1,568 | △174 |
| 12 | ElasticPot | 1,418 | △442 |
| 13 | Medpot | 207 | △10 |
- Result
- Dionaeaの件数が59%低下した。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Ireland | 1,716,881 | 1(→) |
| 2 | Russia | 1,161,544 | 2(→) |
| 3 | Netherlands | 860,138 | 5(↑) |
| 4 | China | 770,235 | 4(→) |
| 5 | Panama | 530,447 | 8(↑) |
| 6 | Vietnam | 432,792 | 3(↓) |
| 7 | United States | 347,849 | 7(→) |
| 8 | India | 345,303 | 6(↓) |
| 9 | Brazil | 173,598 | 9(→) |
| 10 | Indonesia | 153,339 | 10(→) |
| 11 | France | 118,731 | 圏外(↑) |
| 12 | Venezuela | 116,310 | 11(↓) |
| 13 | Romania | 112,847 | 圏外(↑) |
| 14 | Republic of Moldova | 98,421 | 圏外(↑) |
| 15 | Turkey | 88,126 | 12(↓) |
| 16 | Taiwan | 80,050 | 14(↓) |
| 17 | Germany | 79,789 | 圏外(↑) |
| 18 | Bulgaria | 77,013 | 18(→) |
| 19 | Thailand | 76,710 | 圏外(↑) |
| 20 | Egypt | 75,033 | 16(↓) |
- Result
- ニュージーランドからのアクセスが再び増加していた。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | CNT |
|---|---|---|
| 1 | CVE-2020-11899 | 3,809,785 |
| 2 | CVE-2019-0708 CVE-2019-0708 CVE-2019-0708 | 35 |
| 3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 12 |
| 4 | CVE-2020-11910 | 2 |
- Result
- 新規の攻撃は無し。
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 275,752 |
| 2 | admin | 124,868 |
| 3 | support | 16,455 |
| 4 | ubnt | 15,914 |
| 5 | test | 9,213 |
| 6 | user | 6,457 |
| 7 | nproc | 4,244 |
| 8 | guest | 3,529 |
| 9 | sa | 3,269 |
| 10 | 3,258 | |
| 11 | postgres | 3,257 |
| 12 | ubuntu | 3,214 |
| 13 | oracle | 2,169 |
| 14 | git | 2,033 |
| 15 | ftpuser | 1,883 |
| 16 | 22 | 1,504 |
| 17 | mysql | 1,336 |
| 18 | deploy | 1,310 |
| 19 | minecraft | 1,116 |
| 20 | testuser | 1,054 |
| 21 | www | 1,032 |
| 22 | demo | 1,028 |
| 23 | nagios | 1,009 |
| 24 | teamspeak | 970 |
| 25 | Admin | 965 |
| 26 | ftp | 942 |
| 27 | server | 893 |
| 28 | ts3 | 850 |
| 29 | dev | 835 |
| 30 | jenkins | 790 |
| 31 | hadoop | 752 |
| 32 | user1 | 739 |
| 33 | web | 734 |
| 34 | student | 688 |
| 35 | tomcat | 679 |
| 36 | 101 | 676 |
| 37 | administrator | 663 |
| 38 | test1 | 662 |
| 39 | steam | 642 |
| 40 | alex | 621 |
| 41 | www-data | 593 |
| 42 | tester | 569 |
| 43 | developer | 555 |
| 44 | webmaster | 534 |
| 45 | sysadmin | 531 |
| 46 | ts | 509 |
| 47 | temp | 502 |
| 48 | pi | 498 |
| 49 | vbox | 492 |
| 50 | sinusbot | 487 |
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 301,568 |
| 2 | & | 24,536 |
| 3 | 123456 | 16,672 |
| 4 | ubnt | 16,250 |
| 5 | support | 15,731 |
| 6 | 7,805 | |
| 7 | 123 | 7,458 |
| 8 | password | 7,393 |
| 9 | 1234 | 6,099 |
| 10 | test | 5,251 |
| 11 | root | 4,848 |
| 12 | nproc | 4,244 |
| 13 | 12345 | 3,607 |
| 14 | 1 | 2,900 |
| 15 | 12345678 | 1,607 |
| 16 | user | 1,363 |
| 17 | 123123 | 1,354 |
| 18 | 1q2w3e4r | 1,306 |
| 19 | guest | 1,295 |
| 20 | 123456789 | 1,219 |
| 21 | qwerty | 1,154 |
| 22 | 1qaz2wsx | 1,100 |
| 23 | test123 | 997 |
| 24 | pass | 926 |
| 25 | a | 922 |
| 26 | Admin | 867 |
| 27 | password123 | 802 |
| 28 | 123321 | 775 |
| 29 | passw0rd | 769 |
| 30 | p@ssw0rd | 755 |
| 31 | abc123 | 753 |
| 32 | 111111 | 730 |
| 33 | 123qwe | 714 |
| 34 | 101 | 705 |
| 35 | P@ssw0rd | 696 |
| 36 | 1234567 | 606 |
| 37 | changeme | 594 |
| 38 | qwe123 | 587 |
| 39 | Password | 542 |
| 40 | admin123 | 537 |
| 41 | q1w2e3r4 | 498 |
| 42 | pass123 | 486 |
| 43 | 666666 | 474 |
| 44 | 1qaz@WSX | 466 |
| 45 | alpine | 436 |
| 46 | master | 422 |
| 47 | operator | 420 |
| 48 | qwerty123 | 413 |
| 49 | princess | 409 |
| 50 | iloveyou | 404 |
- Result
- 脆弱なパスワードとして123456やpassword、qwertyが一般的であるが、princessやiloveyouなども有名のようだ。
