【ハニーポットの検証】ハニーポット設置100日目 ～3月の危険なユーザ名、パスワード上位50位～

T-POTでハニーポットを立ち上げて、早くも100日が経過しました。

少しずつ、ハニーポットから見ることができる情報が増えてきている気がしていますが、まだまだ勉強不足が否めないので、これからも勉強していく必要がありますね。

とはいえ、継続するのが最も大事だと思いますので、無理せず続けていければと思います。

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット】

【Cowrieを除くハニーポット】

これまで、Cowrieのほとんどはロシアから来ていましたが、直近の7日間を見てみると、中国とベトナムからの攻撃に変わってきていますね。

これは、攻撃元が変わったとみるべきか、踏み台が設置されたとみるべきか、悩ましいところです。 

Cowrie以外についても、インドネシアからの攻撃の目立っています。

これについては、数日前のVNCが多く検知された影響でしょう。

本日の攻撃状況

【全ハニーポット】

 【Cowrieを除くハニーポット】

honeytrapに少し大きな攻撃がありますね。とdionaeaに少し大きな攻撃がありますね。 

攻撃元のAS/Nは「No.31,Jin-rong Street」となっていますので、こちらはIoTによる攻撃の可能性が高そうです。

3月の危険なユーザ名・パスワード上位50

危険なユーザ名　TOP50

上位はほとんど変動がありませんが、30位前後から、先月ランク外だったユーザ名が増えてきています。

 34位～36位のe8シリーズは何か意味がありそうですね。検索すると、overtek.comというサイトにつながりますので、個々の製品の初期値がそうなのかもしれません。このサイトでは、初期パスワードについて書かれています。

forum.overtek.com.br • ONU 4020VW - não passa usuario e senha

危険なパスワード　TOP50

こちらも、上位はほとんど変化はありませんね。

13位のパスワードは一見複雑ですが、とある製品のadminの初期値ですので、上位にランクインしています。実際に、miraiにも使われているパスワードです。

27位に出てきたmeinsamというパスワードは「MOBOTIX」のカメラの初期パスワードですね。こちらもIoTに関して、攻撃を受けやすくなっています。

このように、一見複雑そうに見えても、マニュアル等に初期パスワードとして掲載されているものは、攻撃対象となっていますので、変更の必要があります。