【ハニーポットの検証】ハニーポット設置152日目 ~5月の危険なユーザ名、パスワード上位50位~
6月1日、OWASP Nagoyaのスタッフに参加させていただいて、初めてのOWASP Nagoya Chapter Meetingが開催されました。
OWASP Top10 という少し…かなり難しいテーマについて、Chapter Leaderや学生のスタッフがうまく説明しており、改めてOWASP Nagoyaはすごいなぁと実感しました。
7月23日、オワスプナイトナゴヤが開催予定となっていますので、みなさま、ぜひご参加ください!
本日の攻撃状況
過去1週間の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
昨日、エアコン取付のために一時的にブレーカーをすべて落としたため、ハニーポットに影響がでるかとおもっていたのですが、全く影響がでることなく、元気に攻撃が到着していますね。
本日の攻撃状況
【全ハニーポット】
【Cowrieを除くハニーポット】
1日単位で見ると、一時的に急増しているhoneytrapが気になりますね。いつも通りロシアかと思ったら、今日はドイツからですね。少し様子を見てみたいと思います。
(今日はユーザ名とパスワードに決め打ちしていましたので…汗)
5月の危険なユーザ名・パスワード上位50
危険なユーザ名 TOP50
件数自体は4月から大きく増減はなさそうです。
1位~8位までは、全く順位に変動がありませんね。この8つは殿堂入りのようなものでしょう。
9位「telecomadmin」は前回42位から、10位「telnetadmin」は前回ランク外からの急浮上となっています。
9位の「telecomadmin」というアカウントはHuaweiのルータのアカウントのようで、通常では変更不可となっているようです。変更のためのYoutube動画が上がっているくらいですので、つけ狙われる根拠としては十分ですね。
10位の「telnetadmin」は中国製のルータである「E-140W-P」という機種の初期設定として利用されているユーザIDです。
同様に11位の「e8ehome」は「E8C」というルータ、11位の「e8telnet」は「HGC421v3」というルータの初期設定として利用されているユーザIDとなっています。
これらは、4月13日にトレンドマイクロ社が発信した中国初のネットワークスキャン活動の一環と考えられそうですね。
これらの結果から、やはりルータなどをIoTを狙った攻撃が未だに多くを占めていることが分かります。
これらの機種に限らず、ルータのユーザ名を初期値で使用している場合、早めに変更することをお勧めします。
危険なパスワード TOP50
意外なところで、「password」というパスワードが12位まで転落していますね。こちらも「password」を含め、上位8位までは殿堂入りだと思っていましたので、少し驚きです。
変わりに上がってきたのが「7ujMko0admin」ですね。
先月も出てきたかと思いますが、Dahua製のIPカメラに使用されているデフォルトのtelnetパスワードが、こちらの「7ujMko0admin」になります。
11位の「vizxv」13位の「Zte521」14位の「xc3511」もすべてIoT機器のデフォルトパスワードのようです。その多くがIPカメラ、防犯カメラのもののようですね。
こう見ると、やはり最近の攻撃の主流はIoTに対する攻撃で、サーバ系への不正アクセスは若干影を潜めているのかなと感じます。
利用者が便利になる一方、攻撃者も便利になるということですね。