【ハニーポットの検証】2018年度版「最悪のパスワード・ワースト100」と、うちのハニーポットのTOP100
この記事はHoneypot Advent Calendar 2018の16日目の記事になります。
年末になると公表されるSplashData社さんの「最悪のパスワード・ワースト100」と、我が家のハニーポットで収集し、公表してきた危険なパスワードTOP50の比較をしたいなぁと思っていまして、 Honeypot Advent Calendar 2018に間に合えばいいなと思っていたところ、ちょうど公開されましたので、さっそく比較していきたいと思います。
注意事項
当サイトで比較しているSplashData社さんの「最悪のパスワード・ワースト100」と、私のパスワードの集計方法は確実に異なっていますので、それぞれの信憑性を否定する記事ではありません。
収集する環境の違いや、地域の違いでどれだけ異なるのかをお楽しみ(?)ください。
どちらに載っているパスワードであっても、少なからず攻撃で使用されているパスワードです。心当たりのある方は、すぐに変更することをお勧めします。特に、ルータや防犯カメラ等のIoT機器は、気付かないうちにこれらのパスワードになっていること(というか、初期パスワードのまま変更していない)可能性がありますので、年末の大掃除ということで、見直してみてください。
私の環境の集計方法
何度かお伝えしている通り、過去のログがすべて飛んでなくなってしまいました。そのため、1月~11月で公表したパスワードTOP50の登場ランキング(1位なら50ポイント、2位なら49ポイント…50位なら1ポイントを加算して集計)という変則的な集計方法をとりました。そのため、実際の件数とは異なる場合がありますが、その辺は個人のブログということでお見逃しください。
ランキングの比較
TOP1~10
最初っから、ガラッと違いますが、この辺はお互いに含まれているものも多いようですね。
TOP11~20
徐々に一致するものが減ってきています。
TOP21~30
ここから先は、ほとんど一致するものがありません。
TOP31~50
TOP51~75
TOP76~100
我が家のハニーポットは、最後95位以降ネタ切れとなってしまいました。来年から、ログのバックアップをしっかり取って、もっと精度の高い比較をしようと思います…
まとめ
集計している最中からなんとなく気づいた点としては、我が家のハニーポットで収集したパスワードは、mirai等のIoT系も収集していますので、どうしても初期パスワードやroot権限を狙ったパスワードになっています。
一方、SplashData社さんの「最悪のパスワード・ワースト100」は、一般的なリスト型攻撃に使用されているパスワードに限定しているのかもしれません。思った以上に違いが表れましたね。