サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置152日目 ~5月の危険なユーザ名、パスワード上位50位~

 

6月1日、OWASP Nagoyaのスタッフに参加させていただいて、初めてのOWASP Nagoya Chapter Meetingが開催されました。

OWASP Top10 という少し…かなり難しいテーマについて、Chapter Leaderや学生のスタッフがうまく説明しており、改めてOWASP Nagoyaはすごいなぁと実感しました。

 

7月23日、オワスプナイトナゴヤが開催予定となっていますので、みなさま、ぜひご参加ください!

owaspnagoya.connpass.com

geekbar.doorkeeper.jp

 

 

本日の攻撃状況

過去1週間の攻撃状況 

【全ハニーポット

f:id:tk-secu:20180603225846p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180603225913p:plain

昨日、エアコン取付のために一時的にブレーカーをすべて落としたため、ハニーポットに影響がでるかとおもっていたのですが、全く影響がでることなく、元気に攻撃が到着していますね。

 

本日の攻撃状況

【全ハニーポット

f:id:tk-secu:20180603225925p:plain

【Cowrieを除くハニーポット

f:id:tk-secu:20180603225937p:plain

1日単位で見ると、一時的に急増しているhoneytrapが気になりますね。いつも通りロシアかと思ったら、今日はドイツからですね。少し様子を見てみたいと思います。

(今日はユーザ名とパスワードに決め打ちしていましたので…汗)

 

5月の危険なユーザ名・パスワード上位50

危険なユーザ名 TOP50

f:id:tk-secu:20180603230242p:plain

件数自体は4月から大きく増減はなさそうです。

 

 1位~8位までは、全く順位に変動がありませんね。この8つは殿堂入りのようなものでしょう。

9位「telecomadmin」は前回42位から、10位「telnetadmin」は前回ランク外からの急浮上となっています。

9位の「telecomadmin」というアカウントはHuaweiのルータのアカウントのようで、通常では変更不可となっているようです。変更のためのYoutube動画が上がっているくらいですので、つけ狙われる根拠としては十分ですね。

www.youtube.com

10位の「telnetadmin」は中国製のルータである「E-140W-P」という機種の初期設定として利用されているユーザIDです。

同様に11位の「e8ehome」は「E8C」というルータ、11位の「e8telnet」は「HGC421v3」というルータの初期設定として利用されているユーザIDとなっています。

これらは、4月13日にトレンドマイクロ社が発信した中国初のネットワークスキャン活動の一環と考えられそうですね。

blog.trendmicro.co.jp

これらの結果から、やはりルータなどをIoTを狙った攻撃が未だに多くを占めていることが分かります。

これらの機種に限らず、ルータのユーザ名を初期値で使用している場合、早めに変更することをお勧めします。

 

危険なパスワード TOP50

f:id:tk-secu:20180603230307p:plain

意外なところで、「password」というパスワードが12位まで転落していますね。こちらも「password」を含め、上位8位までは殿堂入りだと思っていましたので、少し驚きです。

変わりに上がってきたのが「7ujMko0admin」ですね。

先月も出てきたかと思いますが、Dahua製のIPカメラに使用されているデフォルトのtelnetパスワードが、こちらの「7ujMko0admin」になります。

11位の「vizxv」13位の「Zte521」14位の「xc3511」もすべてIoT機器のデフォルトパスワードのようです。その多くがIPカメラ、防犯カメラのもののようですね。

こう見ると、やはり最近の攻撃の主流はIoTに対する攻撃で、サーバ系への不正アクセスは若干影を潜めているのかなと感じます。

 

利用者が便利になる一方、攻撃者も便利になるということですね。