サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【ハニーポットの検証】ハニーポット設置210日目 ~7月の危険なユーザ名、パスワード上位50位~

オワスプナイトナゴヤ#2で危険なユーザ名、パスワードは、毎月掲載しています!と言っておきながら、更新が遅れてしまっています…。

昨日、ようやく帰省より戻ってきましたので、さっそく更新していきたいと思います。

 

 

 

7月の危険なユーザ名・パスワード上位50

危険なユーザ名 TOP50

f:id:tk-secu:20180805225408p:plain

前月との件数比

TOP50までの件数については、6月が381,691件だったのに対し、7月は526,287件と大幅に増加しています。

5月から6月も増加していましたので、2カ月連続で増加傾向にありますね。

TOP5 の傾向

1位「root」2位「admin」3位「enable」4位「shell」5位「(スペース)」は先月同様、多少の順位の入れ替わりはあるものの、大きな変化はありません。

特に、1位の「root」は162,411件と、2位の「admin」(73,081件)にダブルスコア以上の差をつけて堂々と1位を獲得しています。

やはり管理者権限を有するアカウントとして、最も使用頻度が高いのが原因だと思われますね。少なくともLinux、ルータ、Webカメラ等に使用されていることが分かっていますので、この件数はこれからもどんどん増加することでしょう。

TOP10の傾向

6位「default」7位「user」8位「guest」9位「Administrator」も先月同様TOP10に名を連ねるユーザアカウントですね。

10位「super」は、先月から見ると4ポイントアップしています。件数では2,982件から4,625件と倍近く増加していますので、今後の注目株になる可能性を秘めていますね。

気になるのは、先月8位だった「Telecomadmin」が、今月は30位(6,417件から1,774件に減少)まで落ちているという点ですね。後ほど出てきますが、対になっているパスワード「nE7jA%5m」の件数も大きく低下していますので、このルータに対する攻撃が減少したと見ることができるのかもしれません。

その他の動向

先月までランク外であったユーザアカウントが9件ランクインしています。

35位「Manager」36位「EZsetup」39位「enablediag」40位「Wproot」41位「cmc」43位「SUPERVISOR」44位「apc」49位「backdoor」50位「manuf」が該当します。

49位「backdoor」というのは、他人の空けたバックドアを流用しようという試みでしょうか。

 

危険なパスワード TOP50

f:id:tk-secu:20180805230107p:plain

前月との件数比

TOP50までの件数については、6月が248,024件だったのに対し、7月は306,337件と、こちらも増加しています。

ユーザアカウントと同様に、5月から6月も増加していましたので、2カ月連続で増加傾向にありますね。

TOP5 の傾向

1位「(スペース)」2位「system」3位「sh」4位「1234」5位「admin」は、多少の順位の入れ替わりはあるものの、先月同様、大きな入れ替わりはありません。

件数でみると、1位の「(スペース)」(36,011件)と、2位の「system」(17,372件)の間に大きな差がありますね。2位以下は比較的僅差になっています。

パスワード未設定や、空白パスワードは攻撃の的になりやすいので、必ずパスワードは設定しておかなければなりませんね。

 

TOP10の傾向

6位「password」7位「123456」9位「12345」は先月同様にTOP10にランクインしているパスワードです。

8位「SH」は、先月は27位だったものが、今月は8位となっていますね。件数でみると3,066件から8,320件と3倍弱の増加です。ただ、パスワード「sh」でみると、常時3位に小文字の「sh」がいますので、そこまで変わった傾向ではないのかもしれません。

10位「1」は、先月まではTOP50に入っていなかったパスワードですね。いきなりTOP10に入ってきた要注意パスワードです。ただまぁ…1文字のパスワードですよね…。しかも数字の「1」というごくありきたりな…。これまでランクインしなかったほうが不思議なのかもしれません。

 

その他の動向

今回、27位~37位までの11種のパスワードが試行回数3,000件超で新規にランクインしています。件数もすべてに通っていますので、新たに攻撃ツールにハードコーディングされた可能性が考えられます。

 

ただ、31位の「ggdaseuaimhrke」はAvaya社製のメディアゲートウェイの初期パスワードで、2018年の1月に、私のブログでTOP50入りしていることが確認できました。

ざっと見た感じでは、同様に34位「forgot」や36位「switch」も同じタイミングでランクインしていますので、これらがハードコーディングされたツールによる攻撃が大量にあったとみるべきかもしれませんね。

tk-secu.hateblo.jp