皆さんこんにちは

ukyです．

2回目の更新は，最近自宅に構築したハニーポットの記録の一部の紹介です．

まだ試運転状態で，断続的な記録というわけではありませんが，6/11-6/16現在にかけての私のハニーポットの記録を紹介します．

リージョンは日本なので，日本向けの攻撃が記録されていると思ってください．

といっても，今回紹介する内容では，日本向けとか関係ない気がしますが...

私の管理用アクセスも記録されており，面倒くさくて除外してないですが，そんなに多くないのでここでは誤差として考えています．

１週間満たない期間でしたが，それでも攻撃通信は計50,406件観測できました．

まさかの５万件超で，サイバー攻撃が流行している，いたるところで発生しているとは世の中のニュースで聞いていても，実際に観測して数字としてみるとかなり多いことが分かります...

当たり前ですが，容易にサーバを乗っ取れるsshやtelnetへの通信が５万件近くと多いですね． (上の画像でいうところのCowrieがssh，telnetへのアクセスに当たる)

その他，WindowsのRDPの通信も256件となかなか多いです．

(上の画像でいうところのRdpyがRDPへのアクセスに当たる)

...やっぱりサーバに直接アクセスできるプロトコルが狙われやすい！という結果になりました．これは予想通り

次に，sshやtelnetへのアクセスに利用されたIDとパスワードについてです．

大きくなっている文字列が，使用頻度が高かったID/パスワードです．

IDは「root」，パスワードは「admin」が最多ですね．rootは普通のOSに常備されているアカウント名ですし，adminはルータの初期パスワード...だったりするのでしょうかね．ここに乗っているパスワードは使わないことを推奨します．ボットにいつ乗っ取られるかわかりませんからね...

ここで注目したいところは，パスワードの「raspberry」です．文字列から察するに，どうやら有名なIoT機器のラズベリーパイの初期パスワードらしいです*1

私も最近購入して，sshをインターネット公開して自宅のNWにアクセスできるようにしたので，気を付けないといけない！と思いました．

※もちろん公開したsshサーバはパスワードログインを禁止して，公開鍵認証のみに設定しました．

最後に攻撃元のIPアドレスについてですが，中国が多いかなと思いましたが，

以外にもヨーロッパからの攻撃がダントツで多かったです*2

今回は以上です．今後，どれほど続くかわかりませんが，続けられるだけ続けたいです*3