ハニーポット is 何?実際に作って触ってみる 調査編

◆ Live配信スケジュール ◆
サイオステクノロジーでは、Microsoft MVPの武井による「わかりみの深いシリーズ」など、定期的なLive配信を行っています。
⇒ 詳細スケジュールはこちらから
⇒ 見逃してしまった方はYoutubeチャンネルをご覧ください
【6/19開催】Kong Community Japan Meetup #4
本イベントでは、Kong Inc. のVP of ProductであるReza Shafii氏もプレゼンターとして参加。当社からはアーキテクト マネージャーの槌野の登壇が決定!参加無料です!!
https://column.api-ecosystem.sios.jp/connect/kong/1081/

【6/21開催】開発者目線でのSBOMとの向き合い方
SBOMの導入から開発者がSBOMの作成・管理を自動で行っていくための方法(デモ)を紹介します。SBOMを全く知らない人から、開発との統合までを紹介するので様々なレベルの方に学びがあるライブとなる予定です!
https://tech-lab.connpass.com/event/321422/

【7/19開催】現場で役立つAzure神小技10+α 〜生成AI,RAG,コスト削減など旬な技術満載のLT大会〜
Azureの最新技術や実用的な小技を紹介する特別なライトニングトーク大会を開催します!
https://tech-lab.connpass.com/event/319077/

【7/26開催】最適なIaCツールを選ぼう
プロジェクトでのツール選びに困らないための重要な観点をご説明します!
https://tech-lab.connpass.com/event/319532/

はじめに

始めまして。サイオステクノロジー のNです。

前回、「ハニーポット is 何?実際に作って触ってみる 構築編」 ということでハニーポットの概要や作成する手順について紹介しました。

今回は、実際に運用し、攻撃されたデータを見ていきます。

 

データの収集期間について

今回は2021年8月02日(日) 0:00~8月08日(土) 23:59の約一週間でデータを収集しました。

データ数が少ないですが金銭面から見てやむなしです。

 

調査データ

今回の調査に関しては攻撃総数の多かった3つのハニーポットへの攻撃について調査していきます。

Dionaea

攻撃総数:  345,197件

Dionaeaは前回記事で解説したとおり、t-podで多数のポートをListenしています。

今回の調査データでは98%が445/TCPへのアクセスでした。

445/TCPはsmbdのデフォルトポートです。

そのためこれらのアクセスはsmbdへの攻撃であるかと思われます。

smbdといえば数年前にWannaCryなどが世間を騒がせましたね。

もう対策していないところはないと思いますが…。

 

Dionaeaのハニーポットに対し、使用されたユーザ名の一覧です。

内訳を見ると「sa」というユーザ名が最も多く、436件、続いてftpが181件、userが179件と続きます。

「sa」はSQL Serverで使用されるユーザ名です。

大体がシステムのデフォルトで使用されるユーザ名か、安易なユーザ名が多いですね。

 

Dionaeaのハニーポットに対し、使用されたパスワードの一覧です。

内訳を見ると空欄が最も多く「1234」、「12345」などが続きます。

いかに安直なパスワードがいかに狙われやすいかがわかります。

 

こういった安直なパスワードは使用せず、複雑なパスワードや多要素認証を適用するようにしましょう。

 

Honeytrap

攻撃総数:  138,170件

Honeytrapも前回解説したとおり、特定のポートをListenしているわけではなく、他のポートでListenしていないPortにアクセスが来た場合、動的に動作するハニーポットです。

以下のようなポートに対してのアクセスがありました。

このあたりは推測ですがデフォルトポートから適当にずらしたポートかと思われます。

2121: FTP(21)を付け足した安直なもの

8088: WEBへのアクセス

3390: 3389(RDP)で使うポートを適当に変えたの

6379に関してはRedisのデフォルトポートですね。

 

Cowrie

攻撃総数: 33,206件

Cowrieも前回記事で解説したとおり、SSHやTelnetに関するデータを収集してくれるハニーポットです。

SSHとTelnetのログの比率はSSHが88.59%、Telnetが11.41%とSSHへの攻撃の比率が圧倒的に高かったです。

攻撃者からしても、もうTelnetは使われていないという認識なのでしょうか?

 

Cowrieのハニーポットに対し、使用されたユーザ名の一覧です。

rootユーザが910件と圧倒的に多いです。続いてadmin、userなど安直なユーザ名です。

その他にはpostgresやansible、gitなどOSSの名前のユーザ名も目立ちます。

 

Cowrieのハニーポットに対し、使用されたパスワードの一覧です。

こちらも安直なパスワードがほとんどを占めていますね。

 

終わりに

今回の調査では

ユーザ名はデフォルトのユーザ名や安直なユーザ名、サービス名などが多く見られました。

パスワードは安直なパスワードやサービス名が多く見られました。

 

当たり前ですが、最低限、この3つは意識するようにしていきましょう。

  • 安易なユーザ名は使わない
  • 安易なパスワードは使わない
  • 必要でないポートは閉じておく

 

また、T-Podではここで紹介しきれないほど沢山のハニーポットを内包しています。

みなさんもぜひハニーポットを構築して実際の攻撃を見てみましょう!

 

 

アバター画像
About Nakaya 5 Articles
2021年サイオステクノロジーに新卒入社。
ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

1人がこの投稿は役に立ったと言っています。


ご覧いただきありがとうございます。
ブログの最新情報はSNSでも発信しております。
ぜひTwitterのフォロー&Facebookページにいいねをお願い致します!



>> 雑誌等の執筆依頼を受付しております。
   ご希望の方はお気軽にお問い合わせください!

Be the first to comment

Leave a Reply

Your email address will not be published.


*


質問はこちら 閉じる