サイバー攻撃は日々変化しており、サイバー攻撃者の手口やトレンドを知ることは対策を考える上で貴重なデータとなる。こういったサイバー攻撃者の手口を知るツールとして、ハニーポットというツールが存在する。ハニーポットとは、わざとサイバー攻撃を受ける「囮サーバー」を設置し、サイバー攻撃者の手口や、トレンドを把握するというもの。

　2019年10月1日から31日までの期間に、AWS上に設置したハニーポットで検知したサイバー攻撃についてレポートする。

■ハニーポットの構成

　本レポートで使用したハニーポットはAWSの東京リージョンに設置されており、AWSのパブリックIPアドレスを割り当て、パブリックDNSは割り当てていない。AWSのセキュリティグループはハニーポットにログインするポート番号以外は全てオープンとなっている。「AWSのセキュリティグループの設定を誤るとこんな攻撃を受ける」という視点で見て貰うと、セキュリティの重要性を理解する助けになるだろう。

■攻撃を受けたハニーポットトップ 10

1. Dionaea　1,642,651
2. Heralding　385,219
3. Honeytrap　249,452
4. Cowrie　　　240,638
5. Mailoney　68,026
6. Tanner　　10,917
7. Rdpy　　　4,968
8. Adbhoney　3,600
9. Ciscoasa　1,946
10. ConPot　　694

最も多くのサイバー攻撃を受けたのは、Dionaeaと呼ばれるハニーポット。DionaeaはHTTPやFTP、MySQLといったメジャーなサービスを提供するハニーポット。160万回を超えるサイバー攻撃を検出した。160万回のうち約100万回がMysqlに対する攻撃。次いで49万回がsmbdに対する攻撃だった。

Heraldingは、資格情報を狙う攻撃を検知するハニーポット。期間中に38万回を超える攻撃を検知しており、ほぼ9割がVNCの通信ポート5900番に対するものであった。

HoneytrapはTCP/UDPに対する攻撃を検知するハニーポット。期間中に24万回を超える攻撃を検知した。IPアドレス 45.136.109.9から33870番ポートに対して93,760回の攻撃を検知していた。8088番ポートに対しては5万5千回の攻撃を検知しており、複数のIPアドレスから攻撃を受けていた。5038番ポートに対して2万3千回の攻撃を検知していた。

■攻撃を仕掛けてきた国

1. Russia　245,858
2. Republic of Korea　229,339
3. China　223,292
4. Vietnam　221,516
5. United States　221,013
6. Republic of Moldova　174,138
7. Taiwan　121,014
8. India　103,134
9. Indonesia　89,908
10. Thailand　64,922

期間中に攻撃を仕掛けてきた国は、上記の順位となった。

■侵入を試みられたユーザID

1. sa　1,032,085
2. root　16,678
3. admin　7,560
4. 22　1,434
5. 　1,365
6. nproc　934
7. enable　297
8. user　256
9. shell　240
10. support　159
11. pi　112
12. test　109
13. guest　98
14. 0　81
15. 123456　77
16. ubnt　69
17. default　68
18. usuario　67
19. ubuntu　60
20. oracle　56
21. 123　50
22. supervisor　45
23. ftpuser　44
24. tech　41
25. service　34
26. admin1　32
27. applmgr　32
28. com　32
29. www　32
30. nagios　31
31. Admin　30
32. sh　30
33. mysql　29
34. Administrator　26
35. administrator　26
36. postgres　25
37. temp　22
38. 888888　21
39. 666666　19
40. ftp　19
41. Passcode　18
42. password　18
43. 1234　16
44. git　16
45. mother　15
46. cisco　14
47. mobile　14
48. 12345　13
49. qwerty　13
50. jboss　12

期間中に50個のユーザIDを利用する攻撃が観測された。最も多かったユーザ名は「sa」。これはSQLサーバで利用されるユーザID。次いでroot、adminが続いた。何れもシステム管理者用のユーザIDとして、広く一般的に知られている物であり、こういった特権IDは複雑なパスワードや二要素認証を適用することが重要であることが、攻撃頻度の多さから実感できる。

■侵入を試みられたパスワード

1. admin　5,628
2. 　4,784
3. password　2,338
4. 12345678　2,073
5. root　1,500
6. 123456　1,251
7. 1q2w3e4r　1,165
8. 11111111　966
9. 1qaz2wsx　958
10. 11223344　944
11. 0　915
12. qwertyui　910
13. 1234qwer　895
14. 123456789　888
15. nproc　887
16. iloveyou　883
17. 88888888　881
18. 1234567890　864
19. aaaaaaaa　859
20. 87654321　846
21. abcd1234　842
22. a1234567　807
23. 111111111　790
24. 123321123　778
25. qwer1234　776
26. 12121212　773
27. 123456123　768
28. 55555555　753
29. q1w2e3r4　749
30. 12341234　742
31. 77777777　741
32. asdasdasd　740
33. 31415926　739
34. 1111111111　736
35. 99999999　716
36. qweasdzxc　716
37. 33333333　708
38. 123123123　699
39. asdfghjk　696
40. 123456789　695
41. 66666666　693
42. 147258369　691
43. 0　687
44. 111111　687
45. qqqqqqqq　685
46. 12344321　672
47. 22222222　672
48. xiazhili　661
49. asdfasdf　658
50. a123456789　655

期間中に入力されたパスワード。adminやpassword、空白、といった単純なフレーズや、qwertyuiといったキーボードの配列通りに入力しただけのパスワードは利用を避けた方が良いことが解る。

■侵入後に実行されたコマンド

1. shell　1,136
2. system　1,022
3. cat /proc/cpuinfo | grep name | wc-l　941
4. cat /proc/cpuinfo | grep name | head-n 1 | awk'{print $4,$5,$6,$7,$8,$9;}'　940
5. uname-a　940
6. cat /proc/cpuinfo | grep name | head-n 1 | awk {print $4,$5,$6,$7,$8,$9;}　939
7. cat /var/tmp/.var03522123 | head-n 1　939
8. echo "321" > /var/tmp/.var03522123　939
9. rm-rf /var/tmp/.var03522123　939
10. cat /proc/cpuinfo | grep model | grep name | wc-l　938

Cowireと呼ばれるハニーポットでは、SSHを起動し、サイバー攻撃者が入力したコマンドを記録出来る。期間中に記録されたコマンドは上記の通り。

■利用を試みられたCVE

1. CVE-2006-2369　389,315
2. CVE-2001-0540　8,865
3. CVE-2012-0152　951
4. CAN-2001-0540　472
5. CVE-2002-0013 CVE-2002-0012　284
6. CVE-2002-0013 CVE-2002-0012 CVE-1999-0517　193
7. CVE-2018-14847 CVE-2018-14847　100
8. CVE-2005-4050　77
9. CVE-2014-0160　35
10. CVE-2003-0818　33

期間中に最も多かったCVEはCVE-2006-2369。これは、RealVNC Serverの脆弱性。次のCVE-2001-0540はWindows の Terminal Server Service におけるメモリリークの脆弱性。CVE-2012-0152はリモート デスクトップの脆弱性。