【ハニーポットの検証】11月の危険なユーザ名、パスワード上位50位
T-POTを再インストールしてなんとか安定して可動しだしたと思いましたが、やはりHDDそのものにダメージを負っているようで、またリードエラーで停止していました。
本日、福島県郡山市で「エフスタ!!勉強会 サイバー攻撃最新動向」というセミナーを受講していますので、帰りにHDDかSDDを購入して交換しようと思います。
そのため、今回も途中なんどか停止しているため、丸々1ヶ月のログを取れたわけではありませんが、いつものTOP50を作成しました。
11月の危険なユーザ名・パスワード上位50
危険なユーザ名 TOP50
前月との件数比
-今回も省略-
TOP10 の傾向
順序の入れ替わりはあるものの、殆どが不動のTOP10となっていますね。唯一、先月10位だった「support」が15位まで転落しているところがポイントでしょうか。
相変わらず、ユーザ名「1234」というものがありますね。前月より件数は落ちたもの所、まだTOP10の圏内にいるということは、デフォルトで使用しているシステムがあるのでしょうか。検索してみましたが、発見するには至りませんでした。ほとんどのケースが、デフォルトパスワードとして使用されているものでしたね。
その他の動向
件数は少ないものの、「cisco」や「oracle」といったメーカー名のユーザIDがちらほらありますね。やはりこれらは。IoTを狙った攻撃である可能性が高そうですね。ルータやネットワークカメラについては、注意が必要ですね。
クレーンも攻撃対象になる可能性があるとのニュースもありましたが、今はどんなものでもネットワークに繋がる時代ですので、もっとセキュリティについて啓蒙していく必要がありそうですね。
危険なパスワード TOP50
前月との件数比
-今回は省略-
TOP10の傾向
1位〜9位までは順位に大きな変化はありませんでしたが、10位が大きく変化していました。先月は「default」が10位でしたが、今月は「shell」が10位です。「shell」は先月48位でしたので非常に大きな躍進となっていますね。
その他の動向
31位に「changeme」が登場していますね。このパスワードで検索してみたところ、Splunkの初期パスワードであることがわかりました。パスワードそのものでパスワード変更を促すのは面白いですが、このパスワード、2009年にマイクロソフトから安易なパスワードとして指摘されていますね。
約10年前から危険だと言われ続けて、それでも初期パスワードとしているのも、少し気になるところですね。
36位には、先月に引き続き「Win1doW$」というwindowsの変わり種がランクインしています。あまりに回数が多いため、少し調べてみたところ、どうもmiraiにハードコーディングされているパスワードのようですね。ハードコーディングされているということは、このパスワードを使用した何らかのシステムが存在していると言うことなんでしょうか。おそらく初期パスワードではない…と信じたいですが、このように「弱いけど強そうに見える」パスワードは、セキュリティに関心の低い方がターゲットになる可能性が強くなるかもしれませんね。
