ハニーポットで見えた！？ 危険なユーザIDとパスワード ＴＫ （@ookura1978）

自己紹介 ・大倉 武司（@ookura1978) ・社内セキュリティの担当者として、サイバーセキュリティの勉強中 だったんですが… いつのまにか、サイバーセキュリティが楽しく、趣味のように！？ ・ハニーポット歴：7カ月 （あくまで稼働している期間です…ログ分析はお恥ずかしながら…） ・ブログ「サイバーセキュリティはじめました」 https://tk-secu.hateblo.jp/ オワスプナイトナゴヤ#2 2

ＬＴ内容のご注意 ・今回のＬＴは、我が家で運用を行っているハニーポットに寄せられた アタックで使用されたユーザID、パスワードをご紹介します。 ・ハニーポットの特性上、バラマキ型の攻撃の特徴となっています。 標的型攻撃では、全く異なる攻撃になることをご了承ください。 ・個人宅で運用しているハニーポットです。 アタックの件数や内容については、業務で運用されているよりも 少ないと予想されます。 オワスプナイトナゴヤ#2 3

ズバリ！危険なユーザIDはこれだ！ オワスプナイトナゴヤ#2 Rank UserName 件数 1 root 162,411 2 admin 73,081 3 enable 17,209 4 shell 16,773 5 15,178 6 guest 7,286 7 user 6,614 8 telecomadmin 6,417 9 default 4,810 10 Administrator 4,248 6月にアタックのあったユーザID TOP10 TOP10だけで、1カ月間で 合計314,027回 のアタックを受けています！ 単純計算で、 8秒に1回 アタックを受けています！ 4

ズバリ！危険なユーザIDはこれだ！ オワスプナイトナゴヤ#2 【狙われるユーザIDの傾向 その１】 第１位 root おなじみ、Linuxの管理者アカウントなどに使われています。 第２位 admin 各種システムやルータの管理者アカウントで使用されています。 第10位 Administrator Windowsなどの管理者アカウントで使用されています。 初めから、管理者アカウントを狙って攻撃してきています！ 5

ズバリ！危険なユーザIDはこれだ！ オワスプナイトナゴヤ#2 【狙われるユーザIDの傾向 その２】 第3位 enable 第4位 shell 第6位 guest 第7位 user 第8位 default ビルトインアカウントやよく使用されるアカウント名を狙って攻撃し、 それを足掛かりに、管理者アカウントにまで手を伸ばす作戦である可能性が高い！ 6

ズバリ！危険なユーザIDはこれだ！ オワスプナイトナゴヤ#2 【狙われるユーザIDの傾向 その３】 第2位 admin N社製のルータ、B社製のルータなどで使用されている管理者用アカウント 第4位 Telecomadmin 中国のH社製のルータで使用されている管理者用アカウント 最近は、ルータを狙った攻撃も多数観測されています！ 7

ズバリ！危険なユーザIDはこれだ！ オワスプナイトナゴヤ#2 ユーザIDは、よく使用されているアカウントほど、狙われやすいということが分かります！ 特に、管理者アカウントほど、侵入に成功したときのメリットが多いため、狙われやすい 傾向にあります。 つまり？ 複雑なユーザIDでなくても、デフォルトの名前でなければ、極端に攻撃される可能性は 減少します！ 【ご参考】 6月にハニーポットに寄せられたユーザIDは、1カ月間で約3,300種類でした。 （大文字、小文字が区別されています。admin、Admin、ADMINは、それぞれ別カウント） ほとんどが、デフォルトのアカウント名やメーカー名となっていました。 8

ズバリ！危険なユーザIDはこれだ！ オワスプナイトナゴヤ#2 ただし、一部のシステムやルータでは、ユーザIDを自由に決めることができません。 そんな時、アカウントを守るのは パスワードしかありません！！ 9

Rank PassWord 件数 1 36,011 2 system 17,372 3 sh 13,361 4 admin 11,272 5 1234 10,950 6 123456 9,786 7 password 9,010 8 12345 8,096 9 nE7jA%5m 5,971 10 7ujMko0admin 5,805 ズバリ！危険なパスワードはこれだ！ オワスプナイトナゴヤ#2 6月にアタックのあったパスワード TOP10 一見複雑そうなパスワードに見えますが…？ 10

Rank PassWord 件数 1 36,011 2 system 17,372 3 sh 13,361 4 admin 11,272 5 1234 10,950 6 123456 9,786 7 password 9,010 8 12345 8,096 ズバリ！危険なパスワードはこれだ！ オワスプナイトナゴヤ#2 上位1位～8位までは、改めて説明するのが 不要なくらい、危険と言われているパスワード ですね。 しかし、これらのパスワードを使用したアタック が、月間約11万5千件も発生しているということ は、まだまだ使用している方が多いということ ではないでしょうか？ 11

Rank PassWord 件数 9 nE7jA%5m 5,971 10 7ujMko0admin 5,805 ズバリ！危険なパスワードはこれだ！ オワスプナイトナゴヤ#2 この２つ、英数字混在、8桁以上と、一見、 複雑なパスワードではないでしょうか？ なぜ、２つとも月間で5千件以上ものアタックが されているのでしょうか。 第9位 nE7jA%5m 中国のH社製のルータの初期パスワードです。 なお、そのユーザIDは「Telecomadmin」です。 ユーザID ：Telecomadmin（アタック回数6,417回） パスワード：nE7jA%5m（アタック回数5,971回） ほぼ、このルータを狙い撃ちしている攻撃であることが分かります。 第10位 7ujMko0admin 中国のD社製のIPカメラの初期パスワードです。 なお、そのユーザIDは「root」です。 これらは、IoTマルウェア「mirai」にハードコーディングされています。 12

ズバリ！危険なパスワードはこれだ！ オワスプナイトナゴヤ#2 パスワードは、どれだけ強固に見えても、 初期パスワードを使い続けてはいけません！！ 13

ズバリ！危険なパスワードはこれだ！ オワスプナイトナゴヤ#2 アタックに使用された珍パスワード ・粗悪なパスワードとして有名な「password」 よくある発展形としては… Password、PassWord、PassW0rdなどが有名ですね。 【今回発見した「password」の発展形】 ・p4ssword ・pa$$word ・p4sswOrd ・p455word ・P@55word などなど…passwordの発展形だけで87種類のアタックがありました。 変わり種はほとんど1回だけですが… よっぽど「password」にこだわりのある方だったんでしょうか。 14

ズバリ！危険なパスワードはこれだ！ オワスプナイトナゴヤ#2 観測結果から感じたことのまとめ ・安易なパスワードは簡単に破られる！ ・画期的だと思ったパスワードも、元ネタがあると破られる可能性が高い！ 「password」など… ・少なくとも、ハニーポットで1回以上観測されたパスワードは、自分だけの唯一のものでは ないため、使用を控える！ パスワードは、自分だけのものであるべき！ 15

まとめ オワスプナイトナゴヤ#2 ハニーポットを立ち上げていない方のために… 私のブログでは、毎月、初旬に前月観測された ユーザIDとパスワードのTOP50を公開していま す。 １つのご参考としていただければ幸いです。 ご希望の方には、6月に観測できたユーザID、 パスワードのリストを、後日メールで送付させて いただきます。 https://tk-secu.hateblo.jp/ 16

オワスプナイトナゴヤ#2 17