2018年7月23日 オワスプナイト ナゴヤ ~OWASP Nagoya Chapterミーティング第6回~ @ookura1978 #owaspnagoya #owasp758 https://owaspnagoya.connpass.com/event/86723/
ハニーポットで見えた!?危険なユーザIDとパスワードTK(@ookura1978)
View Slide
自己紹介・大倉 武司(@ookura1978)・社内セキュリティの担当者として、サイバーセキュリティの勉強中だったんですが…いつのまにか、サイバーセキュリティが楽しく、趣味のように!?・ハニーポット歴:7カ月(あくまで稼働している期間です…ログ分析はお恥ずかしながら…)・ブログ「サイバーセキュリティはじめました」https://tk-secu.hateblo.jp/オワスプナイトナゴヤ#2 2
LT内容のご注意・今回のLTは、我が家で運用を行っているハニーポットに寄せられたアタックで使用されたユーザID、パスワードをご紹介します。・ハニーポットの特性上、バラマキ型の攻撃の特徴となっています。標的型攻撃では、全く異なる攻撃になることをご了承ください。・個人宅で運用しているハニーポットです。アタックの件数や内容については、業務で運用されているよりも少ないと予想されます。オワスプナイトナゴヤ#2 3
ズバリ!危険なユーザIDはこれだ!オワスプナイトナゴヤ#2Rank UserName 件数1 root 162,4112 admin 73,0813 enable 17,2094 shell 16,7735 15,1786 guest 7,2867 user 6,6148 telecomadmin 6,4179 default 4,81010 Administrator 4,2486月にアタックのあったユーザID TOP10TOP10だけで、1カ月間で合計314,027回のアタックを受けています!単純計算で、8秒に1回アタックを受けています!4
ズバリ!危険なユーザIDはこれだ!オワスプナイトナゴヤ#2【狙われるユーザIDの傾向 その1】第1位 rootおなじみ、Linuxの管理者アカウントなどに使われています。第2位 admin各種システムやルータの管理者アカウントで使用されています。第10位 AdministratorWindowsなどの管理者アカウントで使用されています。初めから、管理者アカウントを狙って攻撃してきています!5
ズバリ!危険なユーザIDはこれだ!オワスプナイトナゴヤ#2【狙われるユーザIDの傾向 その2】第3位 enable第4位 shell第6位 guest第7位 user第8位 defaultビルトインアカウントやよく使用されるアカウント名を狙って攻撃し、それを足掛かりに、管理者アカウントにまで手を伸ばす作戦である可能性が高い!6
ズバリ!危険なユーザIDはこれだ!オワスプナイトナゴヤ#2【狙われるユーザIDの傾向 その3】第2位 adminN社製のルータ、B社製のルータなどで使用されている管理者用アカウント第4位 Telecomadmin中国のH社製のルータで使用されている管理者用アカウント最近は、ルータを狙った攻撃も多数観測されています!7
ズバリ!危険なユーザIDはこれだ!オワスプナイトナゴヤ#2ユーザIDは、よく使用されているアカウントほど、狙われやすいということが分かります!特に、管理者アカウントほど、侵入に成功したときのメリットが多いため、狙われやすい傾向にあります。つまり?複雑なユーザIDでなくても、デフォルトの名前でなければ、極端に攻撃される可能性は減少します!【ご参考】6月にハニーポットに寄せられたユーザIDは、1カ月間で約3,300種類でした。(大文字、小文字が区別されています。admin、Admin、ADMINは、それぞれ別カウント)ほとんどが、デフォルトのアカウント名やメーカー名となっていました。8
ズバリ!危険なユーザIDはこれだ!オワスプナイトナゴヤ#2ただし、一部のシステムやルータでは、ユーザIDを自由に決めることができません。そんな時、アカウントを守るのはパスワードしかありません!!9
Rank PassWord 件数1 36,0112 system 17,3723 sh 13,3614 admin 11,2725 1234 10,9506 123456 9,7867 password 9,0108 12345 8,0969 nE7jA%5m 5,97110 7ujMko0admin 5,805ズバリ!危険なパスワードはこれだ!オワスプナイトナゴヤ#26月にアタックのあったパスワード TOP10一見複雑そうなパスワードに見えますが…?10
Rank PassWord 件数1 36,0112 system 17,3723 sh 13,3614 admin 11,2725 1234 10,9506 123456 9,7867 password 9,0108 12345 8,096ズバリ!危険なパスワードはこれだ!オワスプナイトナゴヤ#2上位1位~8位までは、改めて説明するのが不要なくらい、危険と言われているパスワードですね。しかし、これらのパスワードを使用したアタックが、月間約11万5千件も発生しているということは、まだまだ使用している方が多いということではないでしょうか?11
Rank PassWord 件数9 nE7jA%5m 5,97110 7ujMko0admin 5,805ズバリ!危険なパスワードはこれだ!オワスプナイトナゴヤ#2この2つ、英数字混在、8桁以上と、一見、複雑なパスワードではないでしょうか?なぜ、2つとも月間で5千件以上ものアタックがされているのでしょうか。第9位 nE7jA%5m中国のH社製のルータの初期パスワードです。なお、そのユーザIDは「Telecomadmin」です。ユーザID :Telecomadmin(アタック回数6,417回)パスワード:nE7jA%5m(アタック回数5,971回)ほぼ、このルータを狙い撃ちしている攻撃であることが分かります。第10位 7ujMko0admin中国のD社製のIPカメラの初期パスワードです。なお、そのユーザIDは「root」です。これらは、IoTマルウェア「mirai」にハードコーディングされています。12
ズバリ!危険なパスワードはこれだ!オワスプナイトナゴヤ#2パスワードは、どれだけ強固に見えても、初期パスワードを使い続けてはいけません!!13
ズバリ!危険なパスワードはこれだ!オワスプナイトナゴヤ#2アタックに使用された珍パスワード・粗悪なパスワードとして有名な「password」よくある発展形としては…Password、PassWord、PassW0rdなどが有名ですね。【今回発見した「password」の発展形】・p4ssword・pa$$word・p4sswOrd・p455word・P@55wordなどなど…passwordの発展形だけで87種類のアタックがありました。変わり種はほとんど1回だけですが…よっぽど「password」にこだわりのある方だったんでしょうか。14
ズバリ!危険なパスワードはこれだ!オワスプナイトナゴヤ#2観測結果から感じたことのまとめ・安易なパスワードは簡単に破られる!・画期的だと思ったパスワードも、元ネタがあると破られる可能性が高い!「password」など…・少なくとも、ハニーポットで1回以上観測されたパスワードは、自分だけの唯一のものではないため、使用を控える!パスワードは、自分だけのものであるべき!15
まとめオワスプナイトナゴヤ#2ハニーポットを立ち上げていない方のために…私のブログでは、毎月、初旬に前月観測されたユーザIDとパスワードのTOP50を公開しています。1つのご参考としていただければ幸いです。ご希望の方には、6月に観測できたユーザID、パスワードのリストを、後日メールで送付させていただきます。https://tk-secu.hateblo.jp/16
オワスプナイトナゴヤ#2 17
okura
eikiminami
neuecc
shomzz
outsider
mikanichinose
yutokomai
tomuro
kentosuzuki
oracle4engineer
yoshiitaka
cryptopeg
moore
zakiwarfel
colly
addyosmani
sachag
vanstee
aleyda
zakiyama
cherdarchuk
bluesmoon
carmenintech
paulrobertlloyd