【ハニーポットの検証】2019年5月の危険なユーザ名、パスワード上位50位

最近、セキュリティ関係から少し遠のいているなぁ、ブログの更新もできていないなぁと、反省気味です…。 6月から、心機一転、またできる限り更新を行っていければと思います。 2019年5月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP10の傾向 その他の動向

【ハニーポットの検証】2019年4月の危険なユーザ名、パスワード上位50位

去年の年末くらいから、左腕がしびれるなぁと思っていたら、頚椎神経根症という40代頃からなりやすい症状だということで…もう若くないんだなぁと実感しています。 1日中、ノートPCを使う仕事をしている方や、スマホをよく使う方がなりやすいということなので、皆様もお気をつけください！ さて、新しいT-POTがでたと言うことで、試してみたい気もするんですが、ログのバックアップ等に時間がかかりそうなので、しばらくは現行のT-POTのままで行こうかと思います。 2019年4月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード T…

【考察】サイバー犯罪について

本日、第33回OWASP Sendaiミーティングに参加し、サイバー犯罪について考えさせられる事がありましたので、法律の面で、少し考えをまとめてみたいと思います。 ※弁護士や法学者ではありませんので、間違いは多分に含まれているかと思います。 あくまで個人の考えをメモしたものです。 サイバー犯罪って？ 検挙数

【セミナーアウトプット】第33回 OWASP Sendai ミーティング

本日、第33回OWASP Sendaiミーティングに参加しましたので、その結果レポートです（個人的なメモ多数含む）。 セキュリティ対策基準NIST SP800-171 JAWS DAYS 2019 re:Verse -Full Edition-

【ハニーポットの検証】2019年3月の危険なユーザ名、パスワード上位50位とおまけ（1ヶ月の検証）

3月の途中でプロバイダを変更したため、一時的に件数が減少しましたが、後半の数日だけですので、気にせずいつものユーザ名とパスワードを公表したいと思います。 2019年2月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP10の傾向 その他の動向 おまけ（自分用のメモ） おまけ2 激増した攻撃は？ 1ヶ月の攻撃件数 IPアドレスごとの攻撃件数 アクセス件数1位が使ったユーザ名とパスワード IPアドレスごとの攻撃期間

【ハニーポットの検証】プロバイダによって攻撃傾向は変わるか？

中途半端な時期ですが、3月28日より、プロバイダをGMOから@niftyに変更してみました。グローバルIPが大きく変わるため、攻撃の傾向ももしかしたら変わるかなという試みです。 あと、@niftyはNOTICEに参加しているプロバイダでもあり、これまでほとんどNOTICEからチェックが来ていなかった環境にも来るかもしれないという狙いもあります。 ハニーポットへの攻撃状況 【1日あたりの攻撃数の比較】 【その他の攻撃状況】

【ハニーポットの検証】Port:9527/TCPへのスキャン

本日、OWASP Nightで登壇された根岸さんのお話で、Port:9527に対するスキャンが出てきたとのお話がありました。 ちょっと気になったので、我が家のハニーポットで現状を確認してみました。 ハニーポットへの攻撃状況 【Port:9527のスキャン状況】 【その他の攻撃状況】

【ハニーポットの検証】2019年2月の危険なユーザ名、パスワード上位50位

アクセスログの解析を見ていると、ハニーポットよりもMessageAnalyzerやイベントログに関する記事の方が読まれているようですが、めげずにハニーポットから見つけたものを上げ続けます。 イベントログとかも、もう少し充実させたいとは思っているんですが、まだまだスキルが追い付かず…。 そういえば、人生初の取材を受けることになりました。こんなつたない内容なのになんだか申し訳ないなと思いつつ、少しでも周りのセキュリティが高まって、安心してインターネット等を使えるような未来（miraiではない！）になったらいいなと思い、喜んでご協力することにいたしました。 2019年2月の危険なユーザ名・パスワード…

【ハニーポットの検証】NOTICEによるIoT機器調査の検証

いよいよ来月3月9日、ハニーポッター技術交流会にデビューいたします。しかも、初回からLTで申し込みを行いました。他のハニーポッターの皆様よりも薄くて軽い内容になってしまうかと思いますが、どうか暖かく見守ってください。 さて、ネットで様々な議論が交わされた総務省のIoT機器の調査が、去る2月20日より開始されました。 今回は、その調査である「NOTICE（National Operation Towards IoT Clean Environment）」からの調査が、実際どのようなものだったのか、ハニーポットの視点で見てみたいと思います。 総務省のIoT機器調査とは 総務省のIoT機器調査 ネッ…

【ハニーポットの検証】2019年1月の危険なユーザ名、パスワード上位50位+おまけ

ようやく、 JUDGE EYES（通称：キムタクが如く）をクリアすることができました。引き込まれるシナリオに止め時を失いつつ、ブログの更新が疎かになってしまっていましたが、なんとかクリアしましたので、再開できそうです！ 2019年1月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP10の傾向 その他の動向 おまけ miraiにコーディングされているユーザ名とパスワード

【ハニーポットの検証】危険なIPアドレスが見つかる！？

さてさて、だいぶ更新が遅くなりましたが、久々にハニーポットに関する記事を掲載したいと思います。 さて、今年に入り、collection#1や「宅ふぁいる便」の情報漏洩など、1カ月経たずして、色々なセキュリティ事故が発生しているようですね。他にも、総務省のIoT機器に対する侵入調査など、Twitterでも様々な視点から議論が交わされており、今年1年、2020年を前に、何か大きなことが起こりそうな気がしています。 ハニーポットへの攻撃状況 【ハニーポット毎の攻撃状況】 【Attack Map】

【ハニーポットの検証】12月の危険なユーザ名、パスワード上位50位

あけましておめでとうございます。 今年は、大きなサイバー攻撃が発生しなければいいですね！ さて、早速ですが2018年12月に使用されたユーザ名、パスワードの一覧です。今回からT-POT18.11での収集となり、SSH、telnetに使用されるもの以外もふくまれていますので、その変化にご注目です。 12月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP10の傾向 その他の動向

【ハニーポットの検証】2018年最後のブログ更新

タイトルのとおり、この記事が本年最後の記事となります。 今年は、更新速度が結構低下しているにも関わらず、ご覧いただきありがとうございました。来年もまた、誰か1人でも「役立った」と思ってもらえるような、 ブログにできるよう、頑張って更新していきたいと思いますので、よろしくお願いします。 ハニーポットへの攻撃状況 【ハニーポット毎の攻撃状況】 【Attack Map】

【ハニーポットの検証】2018年度版「最悪のパスワード・ワースト100」と、うちのハニーポットのTOP100

この記事はHoneypot Advent Calendar 2018の16日目の記事になります。 年末になると公表されるSplashData社さんの「最悪のパスワード・ワースト100」と、我が家のハニーポットで収集し、公表してきた危険なパスワードTOP50の比較をしたいなぁと思っていまして、 Honeypot Advent Calendar 2018に間に合えばいいなと思っていたところ、ちょうど公開されましたので、さっそく比較していきたいと思います。 注意事項 私の環境の集計方法 ランキングの比較 TOP1~10 TOP11~20 TOP21~30 TOP31~50 TOP51~75 TOP7…

【ハニーポットの検証】T-POT 18.11 運用開始1週間後の攻撃状況

昨日、Python Boot Camp in 仙台というイベントに参加させていただきました。pythonどころか、VBA以外のプログラミング経験が一切ない私にとって、非常に参考になるお話が聞けて、参加してよかったと思います。 懇親会も3次会？4次会？まで参加し、終電も逃すという失態を久々に体験しましたが、新たな出会いもあり、やはりイベントの懇親会も大切だということを改めて感じたところです。 さて、本日はようやくT-POT 18.11の運用から1週間が経過しましたので、その攻撃の状況についてみていきたいと思います。 ハニーポットへの攻撃状況 【ハニーポット毎の攻撃状況】 【Attack Map】…

【ハニーポットの検証】T-POT 18.11の使い勝手や収集できたものの違いなど

12月2日の日中からT-POT 18.11を稼働していますが、今のところ順調に動いていますね。運用を始めて2日半ほど経過しており、徐々にログがたまってきたので、少し公開したいと思います。 ハニーポットへの攻撃状況 【ハニーポット毎の攻撃状況】 【UserName & Password】 Cockpit

【ハニーポットの構築】T-POT18.11のインストール

引っ越しから調子の悪かったHDDは、やはり物理的に故障していると思われますので、いっそのことSSDに換装して、T-POTを再構築することにしました。 昨日出席したエフスタの会場で、「T-POT18.11がでてますよ！」 という情報をいただきましたので、さっそくインストールしてみました。 T-POT18.11 搭載されているハニーポット Ciscoasa（新機能） Glutton（新機能） Heralding（新機能） Medpot（新機能） Snare（新機能） Tanner（新機能） 17.10に入っていて18.11に入っていないハニーポット その他の変更点 廃止された機能 追加された機能 …

「エフスタ!!勉強会 サイバー攻撃最新動向」に参加して…

12月1日（土）に「エフスタ!!勉強会 サイバー攻撃最新動向」に参加させていただきました。なんでもブログに記事を載せることで「ブログ割」というものがあるらしく（まだ誰も申請したことがないとのことでしたが…）、ぜひ活用しようと言うことで、今回は「ブログ割」目的の記事になります（本当は自分用のメモです）。 仮想通貨に関連したサイバー攻撃の最新動向（根岸氏） ①現在の主流 ②ファイルタイプのマイニング ③Web埋め込みのマイニング ④防止策 セキュリティパネルトーク ・クローズネットワークのセキュリティ ・今後のセキュリティ業界の需要は？ ハニーポットの観測からわかるIoTボットの最新動向（根岸氏）…

【ハニーポットの検証】11月の危険なユーザ名、パスワード上位50位

T-POTを再インストールしてなんとか安定して可動しだしたと思いましたが、やはりHDDそのものにダメージを負っているようで、またリードエラーで停止していました。 本日、福島県郡山市で「エフスタ！！勉強会 サイバー攻撃最新動向」というセミナーを受講していますので、帰りにHDDかSDDを購入して交換しようと思います。 そのため、今回も途中なんどか停止しているため、丸々1ヶ月のログを取れたわけではありませんが、いつものTOP50を作成しました。 11月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード TOP50 前月…

【ハニーポットの検証】実際に攻撃に使用されたパスワード（11月6日～19日 18,479個）その6

パスワードその6です。15,001個目～18,479個目まで。

【ハニーポットの検証】実際に攻撃に使用されたパスワード（11月6日～19日 18,479個）その5

パスワードその5です。12,001個目～15,000個目まで。

【ハニーポットの検証】実際に攻撃に使用されたパスワード（11月6日～19日 18,479個）その4

パスワードその4です。9,001個目～12,000個目まで。

【ハニーポットの検証】実際に攻撃に使用されたパスワード（11月6日～19日 18,479個）その3

パスワードその3です。6,001個目～9,000個目まで。

【ハニーポットの検証】実際に攻撃に使用されたパスワード（11月6日～19日 18,479個）その2

パスワードその2です。3,001個目～6,000個目まで。

【ハニーポットの検証】実際に攻撃に使用されたパスワード（11月6日～19日 18,479個）その1

Twitterでも発信したのですが…。 おそらく引っ越しの影響でHDDにダメージが入ったようで、ハニーポットが毎日リードエラーを吐き出し続けて、うまく攻撃を受け取ることができなくなってしまいました。 せめてログだけでも！とログをUSBにバックアップしようとしてもリードエラーが発生し、泣く泣くすべて消去したうえで再構築することになりました。 そのため、11月6日～新たにログを収集していますので、少し物足りない状態ではありますが、少しでも情報発信をしようと、今回は今月、攻撃を受けた「すべての」パスワードを公開します。 検索できるよう、画像ではなく、テキストにしていますので、ぜひ参考にしていただけれ…

【ハニーポットの検証】10月の危険なユーザ名、パスワード上位50位

今回の危険なユーザ名・パスワードは、10日ごろまでのログが入っていない（異動準備でハニーポット未稼働期間）のと、場所が愛知県から宮城県に変更となっていますので、件数の対比はできません。そのため、詳細な分析は行わず、表のみの掲載とします。 10月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP10の傾向 その他の動向

【ハニーポットの検証】9月の危険なユーザ名、パスワード 番外編 危険なIDとパスワードの組み合わせ

以前、OWASP NagoyaでLTした際「ユーザIDとパスワードの組み合わせ」について質問があり、回答できなかったということがありました。 T-POTのkibanaでは、ユーザIDとパスワードの試行回数は簡単に表示することができますが、それらがどのように組み合わされて攻撃されているかまでは見ることができません。 そこで今回は、ログを収集してユーザIDとパスワードの組み合わせを探ってみたいと思います。 危険なユーザ名とパスワードの組み合わせTOP50（9月22日～30日の実績） TOP10 の傾向 その他の動向 初期パスワード編 有名なユーザIDのパターン数

【ハニーポットの検証】検証！愛知と仙台との攻撃の変化

仙台に異動して、もうすぐ1カ月が経とうとしています。 日に日に寒くなっていくなか、ようやく我が家にファンヒーターが届きました！これで冬を乗り切れそうです！！ あとは灯油を手に入れるだけですね。 さて、仙台でハニーポットに火を入れて、ようやく10日が経ちましたので、ここらで一度、愛知と仙台との比較をしてみたいと思います。 ハニーポットへの攻撃状況 9月1日～10月21日までの攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】 10月1日～10月21日までの攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】

【ハニーポットの検証】9月の危険なユーザ名、パスワード上位50位

仙台に引っ越して初のブログはこちら、毎月恒例の危険なユーザ名、パスワードの発表です。 9月30日までは愛知でハニーポットを立ち上げていましたので、愛知のハニーポットの最後の記事とも言えますね。 仙台のハニーポットにも続々と攻撃が入ってきていますので、こちらも順次、更新していきます。 あと、記事のタイトルを変更しました。引っ越しの間、止めていたこともあり、もう何日目か分からなくなってしまったので…。 9月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP10 の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP10の傾向 その他の動向

【ハニーポットの検証】ハニーポット設置255日目 ～場所が変われば攻撃も変わる…かは、こうご期待！～

タイトルでピンときた方もいらっしゃるかもしれませんが、10月付で人事異動があり、中部地方から東北地方に引っ越すことになりました。 そのため、引っ越し先でインターネットが開通するまで、ハニーポットをお休みしなければならなくなってしまいました。 しばらく更新できなくなるかもしれませんが、環境が構築でき次第、ハニーポットの観測を再開しますので、気長にお待ちいただければと思います。 …その間に、情報処理安全確保支援士の解説とか、ほかのコンテンツを充実させていきたいと思います！ 本日の攻撃状況 9月中旬の攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】 メールハニーポットの検証

【ハニーポットの検証】ハニーポット設置247日目 ～9月前半の攻撃を検証！～

さて…最近ハニーポットの確認が全然行えていないなぁと考えていたら、すでに9月も半ばまで来てしまいました。 と、いうことで、今回は（今回も？）今回は9月1日～13日までの約半月分を一挙公開します！ 本日の攻撃状況 8月上前半の攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】 honeytrapの攻撃状況 メールハニーポットの検証 WOWHoneypotの検証

【ハニーポットの検証】ハニーポット設置238日目 ～8月の危険なユーザ名、パスワード上位50位～

恒例になってきた危険なユーザ名、パスワードの発表です。 8月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP5 の傾向 TOP10の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP5 の傾向 TOP10の傾向 その他の動向

【情報処理安全確保支援士試験】平成30年春期 午前Ⅱ 問11～15 の解説

情報処理安全確保支援士試験の平成30年春期 午前Ⅱの11問目～15問目までの、私見での解説です。 平成30年春期試験 午前Ⅱ 問11 問題 解説 回答 問12 問題 解説 回答 問13 問題 解説 回答 問14 問題 解説 回答 問15 問題 解説 回答

【情報処理安全確保支援士試験】平成30年春期 午前Ⅱ 問6～10 の解説

情報処理安全確保支援士試験の平成30年春期 午前Ⅱの6問目～10問目までの、私見での解説です。 平成30年春期試験 午前Ⅱ 問6 問題 解説 回答 問7 問題 解説 回答 問8 問題 解説 回答 問9 問題 解説 回答 問10 問題 解説 回答

【情報処理安全確保支援士試験】平成30年春期 午前Ⅱ 問1～5 の解説

当ブログ「サイバーセキュリティはじめました」は、サイバーセキュリティの初心者である私の備忘記録という側面から始めました。 過去の記事を読み返していると、初めは試行錯誤しながら色々なことに挑戦していましたが、最近は「ハニーポットはじめました」になっていた感がすごくあるので、ちょっと初心に帰って、ハニーポット以外のこともやっていきたいと思います。 もちろん、ハニーポットの記事も継続しますので、そちらもご覧いただければと思います。 新コーナーとしては、私の知識の復習と、これからセキュリティを勉強する方に少しでも参考になればと思い、IPAの情報処理安全確保支援士試験の問題を、私見で解説していきたいと思…

【ハニーポットの検証】ハニーポット設置226日目 ～新たなRCE Apache Struts2の脆弱性～

OWASP Nagoyaの大型ChapterMeeting、「OWASP Day 758 / 2018」の募集が開始されています。懇親会もありますので、ぜひ皆さんご参加ください！ owaspnagoya.connpass.com owaspnagoya.connpass.com さて、昨日、非常にやばそうなApache Struts2の脆弱性（CVE-2018-11776）が見つかったとのニュースが発信され、話題になっていますね。 ハニーポットへの着信は、どのようになっているのでしょうか。 Apache Struts2の脆弱性 本日の攻撃状況 今週の攻撃状況 【全ハニーポット】 【Cowrie…

【ハニーポットの検証】ハニーポット設置219日目 ～8月前半の攻撃を検証！～

最近、ブログの更新頻度がかなり低下していますね…。 ハニーポット自体は元気に稼働しているのですが、連日の暑さでブログ更新の気力が損なわれています…。 と、いうことで、これまで7日分のグラフを公開していましたが、今回は8月1日～14日までの約半月分を一挙公開しちゃいます！ 本日の攻撃状況 8月上前半の攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】 Rdpyの攻撃状況 honeytrapの攻撃状況 Dioaneaの攻撃状況 メールハニーポットの検証

【ハニーポットの検証】ハニーポット設置212日目 ～7月の攻撃の傾向は？～

ユーザID、パスワードの試行回数は、6月から7月にかけて大きく増加していましたが、実際の攻撃件数はどうなのでしょうか。 7月の攻撃の動向 ハニーポット毎の攻撃回数 国別の攻撃回数 TOP10 ポート毎の攻撃回数 まとめ

【ハニーポットの検証】ハニーポット設置210日目 ～7月の危険なユーザ名、パスワード上位50位～

オワスプナイトナゴヤ#2で危険なユーザ名、パスワードは、毎月掲載しています！と言っておきながら、更新が遅れてしまっています…。 昨日、ようやく帰省より戻ってきましたので、さっそく更新していきたいと思います。 7月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 前月との件数比 TOP5 の傾向 TOP10の傾向 その他の動向 危険なパスワード TOP50 前月との件数比 TOP5 の傾向 TOP10の傾向 その他の動向

【ハニーポットの検証】ハニーポット設置205日目 ～Mailoneyの結果は如何に！？～

先日、オワスプナイトナゴヤ#2でハニーポットのLTを行ってきました。 資料をアップしましたので、興味のある方はご覧いただければと思います。 speakerdeck.com 相変わらず、ハニーポットの設置に迷走していますが、改めてT-POTにWOWHoneypotを仕込むことにしました。 今回の設定では、以前の私の記事とは比較にならないくらい詳細に記載されている graneed.hatenablog.com こちらの記事を参考にさせていただき、kibanaへの連携も真似させていただきました。 ようやくkibanaで視覚的に確認できるようになりましたので、今後の解析に役立つ…といいなぁ… 本日の攻…

【ハニーポットの検証】ハニーポット設置197日目 ～メールハニーポットの設置完了～

以前にも色々と助言を頂いていた@fatsheepさんが、ご自身のブログでT-POTの機能を使用してメールのハニーポットを設置したとの記事を掲載されていました。 fatsheep.hateblo.jp これはもう、真似をするしか無い！ということで、私も設定を行うことにしました。 いつものハニーポットの攻撃情報とともに、ご紹介します。 本日の攻撃状況 過去1週間の攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】 本日の攻撃状況 本日1日の攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】 メールハニーポットの設置 ドメインの設定 メールアドレスの拡散 今回登録してみた…

Windowsのイベントログ（Security）を見る④ ～Microsoft Message Analyzerの簡単な操作方法～

先日記載したMicrosoft Message Analyzerの記事が、想像以上に好評のようで、いまだに多くのアクセスをいただいています。 そこで、私がMicrosoft Message Analyzerを使用する場合の操作方法を一部公開したいと思います。 Microsoft Message Analyzerの操作方法 ファイルオープン ワンポイントテクニック① ワンポイントテクニック② ログ画面の整理 項目の削除 グルーピング 項目の追加方法 ログ画面の保存

【ハニーポットの検証】ハニーポット設置193日目 ～6月の攻撃の傾向は？～

かなり久しぶりの更新になりました。 1週間近く出張に出ていた関係で、ハニーポットも稼働はさせていたものの、まったく内容を確認できていませんでしたので、久々にハニーポットの稼働状況も確認します。 本日の攻撃状況 過去1週間の攻撃状況 【全ハニーポット】 【Cowrieを除くハニーポット】 6月の攻撃の動向 ハニーポット毎の攻撃回数 国別の攻撃回数 TOP10 ポート毎の攻撃回数

Windowsのイベントログ（Security）を見る③ ～セキュリティIDの見方～

先日公開したイベントログの記事へのアクセスの多さに驚いております…。 メインコンテンツはハニーポットの観測だったつもりですが…。 イベントログの見方で困っているのは、私だけではなかったんですね！ これからも、少しでも、イベントログの解析に役立つ情報を発信していけたらなと思います！ 今日は、いろいろなところで出てくるセキュリティID（S-1-5といった記号のようなもの）の見方について、ご紹介します。 セキュリティID（SID）とは セキュリティID（SID）の法則 Universal Well Known SID S-1-1-0 Everyone S-1-2-0 Local S-1-2-1 Co…

【ハニーポットの検証】ハニーポット設置182日目 ～6月の危険なユーザ名、パスワード上位50位～

先日、イベントログの記事を書いたところ、普段50～よくて100程度のPVしかない、このブログが、1日で1,300弱のPVを記録するという、奇跡のような1日がありました。 これからも、皆様に見ていただけるような記事を頑張って書いていければいいなと思います！ 今日は、毎月、月の頭には恒例にしつつある危険なユーザIDとパスワードをご紹介します。 6月の危険なユーザ名・パスワード上位50 危険なユーザ名 TOP50 危険なパスワード TOP50