おうちハニーポット観測レポート 2025年9月
レポートの発行形式
- PDF(レポート本体です。こちらからダウンロード可能です。)
- Zenn記事(これです。一部の記載を省略し、ゆるく書いています。)
レポート発行の目的
以前執筆した、”おうちではじめるセキュアなハニーポットの戦略”という記事にて、家庭においていかにハニーポットを運用するかについて考察しました。
一方で、ハニーポットというのはただ眺めていても意味がありません。ハニーポットを倫理的に最大限有効に活用する観点で以下の三点が重要だと考えています。
- 自らの環境での被害を未然に防止する。
- 他人の環境での被害を未然に防止することに1ミリでも貢献する。
-
自宅で運用可能であることや倫理的な方法を示し、サイバーセキュリティへの興味をもってもらう。
ハニーポットの運用やレポートの発行はこれらの目的に従って行なっています。
倫理
ハニーポットの運用およびレポートの発行においては、法令、倫理観を重視しています。レポートの各所では法との兼ね合いや具体的な対策を記載しています。
レポートの指針
観測レポートの執筆にあたり、既存のレポートを参考にさせていただきました。
ハニーポットの環境
- 本体: RaspberryPi4 4GB
- アドレス: AWS Elastic IP (ap-northeast-1)
- ポット: T-Pot 24.04.1 Hive
- 稼働期間: 2025/09/15-21,23-30 (約360h)
2025年9月 観測レポート
tl;dv
- 検出されたマルウェアについて
2017年頃に広く流行したランサムウェア、WannaCryに類似するトロイの木馬でした。
SMB1.0の脆弱性CVE-2017-0147を利用して感染を広げることが特徴です。 - 国別の攻撃について
ドイツIPから9月24日に平常時の数十倍以上の攻撃が来ており、SSHサービスに対するブルートフォース攻撃が15時間弱にわたり、合計88,796件の攻撃されていました。ユーザネームrootに対して、キーボードの配列などで容易に推測可能なパスフレーズで攻撃されており、攻撃開始直後に成功していました。
サービス別の攻撃
Dionaeaに対する攻撃が多いことがわかります。
Dionaea
このポットはSMBやFTPなどのサービスになりすまし、悪意のあるファイルやマルウェアを検出するサービスです。Dionaeaのみで分析すると、ほぼ全ての攻撃がSMBに対する攻撃であることがわかります。
EternalBlue
4件のマルウェアのハッシュ値が収集されました。
5818d137c6c7324aa05a01c8c3cfe9d9
2c297687e5772f795814c13951abcaef
5826bb8d40d21c01f2dd2a1ec6ecefb0
6e270c6289a13d2b22b824007fa1083a
VirusTotalにて調査すると、マルウェアかつCVE-2017-0147に関連するものとわかりました。
調査によると、エクスプロイトとしてEternalBlueを利用して感染を広げるトロイの木馬型のようです。EternalBlueはMicrosoft Server Message Block 1.0(CVE-2017-0147)の脆弱性を利用して感染を広げるもので、過去に流行したものではWannaCryと呼ばれる、ランサムウェアが有名です。
国別の攻撃
9月24日頃にドイツIPからの攻撃が急増している点が最も大きな攻撃です。また、攻撃元上位の国などについては、特段述べることはありません。
サービス別の攻撃を参照すると、Cowrieに対する攻撃の急増と一致しています。SSHに対する攻撃が15時間弱にわたって、合計88,796件の攻撃が実行されていました。
Cowrie
このポットは22番ポートでSSHになりすまし、試行されたユーザネームやパスフレーズ、コマンドを記録するポットです。今回のブルートフォース攻撃については、ユーザネームrootのみに対して、攻撃を行なっていることがわかります。多くが、キーボードの配列など容易に推測可能なパスフレーズです。
攻撃結果の調査
攻撃によって、実際にSSHへのログインに成功したか確認します。Cowrieのログは以下に保存されています。
tpotce/data/cowrie/log
攻撃者のIPを192.168.100.100と仮定して、以下のコマンドでログイン成功の行を抽出できます。
grep 'cowrie.login.success' ./cowrie.json.2025-09-24 | grep '192.168.100.100'
このコマンドを前後1日を含む3ファイルに対して実行したところ(タイムゾーン関係上)、攻撃開始直後にはクラックに成功していたことがわかりました。
{"eventid":"cowrie.login.success","username":"root","password":"123321q","message":"login attempt [root/123321q] succeeded","sensor":"74cb4e4218f2","timestamp":"2025-09-23T22:45:32.959928Z","src_ip":"192.168.100.100","session":"2e90f9141e86"}
攻撃者の属性
多くの攻撃は既知の攻撃者によるものであることがわかります。その次もスキャナーであることから、多くの攻撃は自動化されたものであることがわかります。
標的とされたポートはDinoaeaのSMBに対する攻撃、CowrieのSSHに対する攻撃が一段と多く、22,80,443,445など、一般的なポートの対策が重要であることがわかります。
攻撃に利用された情報
パスフレーズについては無入力をはじめとし、一般的なクラック用ファイルに含まれているものがほとんどです。
一方で、ユーザーネームでは一般的なものに加えて、リクエストに関連した文字列も多く含まれました。
nGET /solr/admin/info/system HTTP/1.1
Max-Forwards: 70
Contact: <sip:nm@nm>
User-Agent: Go-http-client/1.1
対策
セキュリティパッチの適用
今回検出されたマルウェアは2017年のSMBの脆弱性を利用し、感染を広げるものでした。セキュリティ・パッチを適用することで感染を防ぐことができます。
マルウェア対策
公表前の脆弱性を狙ったものやメールなど、特定の操作によって侵入するマルウェアなど、その種類は多様であることから、マルウェア対策ソフトウェアの導入や、ソフトの適切な更新が重要です。
適切なパスフレーズの設定
SSHへの攻撃には単純なユーザネームとパスフレーズが利用されました。複雑なパスワードを設定することで、侵入に必要な時間を膨大にすることができます。
Fail2banの導入
SSHなどでは、適切なパスフレーズの設定以外にも既存のソフトウェアを利用した対策が可能です。ログを読み込んで、事前に定義した条件に基づいてアクセスの自動遮断などを行うことができます。
来月のレポート
来月は、今月調べ残した以下の事項について調査します。
- 大量のSMBへの攻撃では、どのような展開がされているのか
- SSHにログイン後の攻撃者の行動
- ASNと攻撃の傾向
この傾向によっては、リージョンの異なるIPの利用や、クラウドの切り替えも視野に入れて検討しています。
Discussion