【ハニーポットの検証】ハニーポット設置182日目 ～6月の危険なユーザ名、パスワード上位50位～

先日、イベントログの記事を書いたところ、普段50～よくて100程度のPVしかない、このブログが、1日で1,300弱のPVを記録するという、奇跡のような1日がありました。

これからも、皆様に見ていただけるような記事を頑張って書いていければいいなと思います！

今日は、毎月、月の頭には恒例にしつつある危険なユーザIDとパスワードをご紹介します。

 

6月の危険なユーザ名・パスワード上位50

危険なユーザ名　TOP50

6月は、5月と比べると件数そのものが大幅に増加しています。

やはり、ワールドカップの効果なんでしょうか？

 1位「root」2位「admin」は不動ですね。3位「enable」4位「shell」も前月と比べると、3位と4位が入れ替わっただけですので、ここも相変わらず多いといえますね。

「（スペース）」が、前月31位から今月は5位まで浮上しています。件数でみると15倍以上の差が生じています。これが新たな攻撃のターゲットになっていそうですね。

ユーザ名が空欄ということは、ユーザ管理されていないと認識して攻撃されているのでしょうか。

6位～9位までについても、順位の入れ替わりはあるものの、いつも通りの顔ぶれですね。

10位に「Administrator」がランクインしています。先月は21位でしたが、今月はTOP10に食い込んできましたね。

 また、今月は24位以降に先月までランク外がったユーザIDが数多くランクインしているという特徴があります。

特に「db2」で始まるユーザIDが多いですね。

これらは、IBMの「DB2」というデータベースのユーザアカウントのようです。

このデータベースの脆弱性は過去にいろいろ出ているようですが、最近発表されたのはこれでしょうか。

JVNDB-2018-003235 - JVN iPedia - 脆弱性対策情報データベース

暗号アルゴリズムに関する脆弱性ですし、攻撃元はローカルなので、不正アクセスには関係なさそうですね。

危険なパスワード　TOP50

先月、12位まで転落していた「password」が7位まで盛り返しましたね。

1位は、「（スペース）」ということで、ユーザIDと同様に急増しています。ユーザアカウントはしっかりと設定しておきたいところですね。

さて、9位に「nE7jA%5m」という変わったパスワードがランクインしています。これは、ユーザID「Telecomadmin」のパスワードのようです。

ユーザID「Telecomadmin」はHuawei社のルータのアカウントになっていますね。

ユーザIDで「Telecomadmin」に対するアクセスは6,417回、「nE7jA%5m」というパスワードでのアクセスは5,971回となっています。近似値である以上、Huaweiのルータの初期アカウントであることを知ったうえで、狙って来ていると予想できますね。