倫理・目的・免責

https://ngstk.jp/pub/moral-legal.pdf
このレポートは、法的な見解や政治的意見を述べるものではなく、法的根拠となるものでもありません。サイバーセキュリティは学習とともに、技術の倫理的な使用が強く求められます。本レポートの内容は倫理的にお役立ください。また、筆者は内容に一切の責任を負いません。

ハニーポットの環境

• 本体: RaspberryPi4 4GB
• アドレス: AWS Elastic IP (ap-northeast-1)
• ポット: T-Pot 24.04.1 Hive
• 稼働期間: 2025/10/1-18, 23-30 (約432h)

2025年10月 観測レポート

レポートの目次

• サービス別の攻撃について
  • Heraldingに対する攻撃が多い件について
    adminなど, ユーザーネームを固定した数字の総当たり攻撃と辞書攻撃が観測されました.
  • 検出されたマルウェアについて
    2017年頃に広く流行したランサムウェア, WannaCryに類似するトロイの木馬でした.
    SMB1.0の脆弱性CVE-2017-0147を利用して感染を広げることが特徴です.
• 国別の攻撃について
  • エジプト、イラン、ブラジルがTOP10にランクインしました.
  • 10/14にブラジルの複数のIP,ASNからの攻撃を観測しました.
• 攻撃に利用された脆弱性について
  • CVE-2020-11899 Treck TCP/IP Stack に対する境界外読み取りの脆弱性
    • TCP/IPに関する脆弱性 Ripple20 について
  • CVE-2024-6387 OpenSSH に対するRCEの脆弱性
    • PoC,エクスプロイトの解読
• 攻撃に利用された情報について
• 対策について
• 来月のレポートについて

サービス別の攻撃

先月に続き, Dionaeaに対する攻撃が多いことがわかります. 特筆できる点としては, Heraldingへの攻撃が前月に比べて増加しています. （先月は8位でした. ）

Heralding

Heraldingは, ftpやtelnet, ssh, httpに関する認証情報を収集するポットです. 10/15-17にかけて大幅に攻撃が増加していることがわかります. 多くの攻撃は5900番ポートに対する攻撃で, 既知の攻撃者であるとわかります.

特定の1つのIPからの攻撃が多いことがわかります. 試行されたユーザネームはpostgresとadminのみで, パスワードは4桁の数字の総当たりと辞書攻撃と見られます.

Dionaea(検出されたマルウェア)

2件のマルウェアのハッシュ値が収集されました. 解説は先月の内容と同じです

5ed5f9ffdbb370fc7ef16fcff4b01167
6567e663303386b7152d5fcab1f06cac

VirusTotalにて調査すると, マルウェアかつCVE-2017-0147に関連するものとわかりました.
調査によると, エクスプロイトとしてEternalBlueを利用して感染を広げるトロイの木馬型のようです. EternalBlueはMicrosoft Server Message Block 1. 0（CVE-2017-0147）の脆弱性を利用して感染を広げるもので, 過去に流行したものではWannaCryと呼ばれる, ランサムウェアが有名です.
https://www.eset.com/jp/blog/welivesecurity/eternalblue-new-heights-wannacryptor

国別の攻撃

先月と比較し, エジプト, イラン, ブラジルが攻撃数上位にランクインしました.
ブラジルからの攻撃は10/14に集中しているものの,攻撃元が KnownAttackerとbot,form spammer に分かれており、攻撃元IPのASN情報を見ると複数ASNから攻撃が来ていることもわかります.

攻撃に利用された脆弱性について

CVE-2020-11899 (345件検出)

• Treck TCP/IP stack 6.0.1.66未満における脆弱性
• 任意コード実行、DoS（運用妨害）が可能
• バージョンを更新することで、パッチが適用されます.
• Treck TCP/IP stackは多くのベンダに採用されています.（IoT製品など）

    | ジェイティ エンジニアリング株式会社 | [該当製品無し](https://jvn.jp/vu/JVNVU94736763/995594/index.html) | 2020/08/21 |  |
    | --- | --- | --- | --- |
    | ネットムーブ株式会社 | 脆弱性情報提供済み | 2020/06/18 |  |
    | ビー・ユー・ジーＤＭＧ森精機株式会社 | [該当製品無し](https://jvn.jp/vu/JVNVU94736763/138428/index.html) | 2020/06/22 |  |
    | ファナック株式会社 | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/996405/index.html) | 2020/10/22 |  |
    | ブラザー工業株式会社 | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/995996/index.html) | 2020/08/07 | [ブラザー工業株式会社 の告知ページ](https://support.brother.co.jp/j/b/faqend.aspx?c=jp&lang=ja&prod=group2&faqid=faq00100718_002) |
    | 三菱電機株式会社 | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/479518/index.html) | 2020/10/30 | [三菱電機株式会社 の告知ページ](https://www.mitsubishielectric.co.jp/psirt/vulnerability/pdf/2020-010.pdf) |
    | 図研エルミック株式会社 | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/996394/index.html) | 2020/06/18 |  |
    | 富士通株式会社 | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/2390/index.html) | 2020/11/13 |  |
    | 日本電気株式会社 | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/6443/index.html) | 2020/10/02 |  |
    | 日立 | 脆弱性情報提供済み | 2020/06/18 |  |
    | 東芝デジタルソリューションズ株式会社 | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/996425/index.html) | 2020/09/10 | [東芝デジタルソリューションズ株式会社 の告知ページ](https://www.toshiba-sol.co.jp/pro/magnia/tech/ip_stack.htm) |
    | 株式会社リコー | [該当製品あり](https://jvn.jp/vu/JVNVU94736763/423626/index.html) | 2020/07/31 | [株式会社リコー の告知ページ](https://jp.ricoh.com/info/notice/2020/0731_1) |
    | 横河計測株式会社 | [該当製品無し](https://jvn.jp/vu/JVNVU94736763/995174/index.html) | 2020/06/18 |  |

• Ripple20はTreck TCP/IP stackにおける脆弱性の総称です。
  • Treck社に限らず、他社のスタックなど、IoT製品には多くの脆弱性が見つかっています。さらに、IoT機器の特性上、アップデートやパッチの適用が遅れる場合も多いです。
  • 脆弱性情報の収集およびパッチの適用に加えて、インターネットへの露呈を最小限に留めることが重要です。

https://devblog.lac.co.jp/entry/20230227

CVE-2024-6387 (26件検出)

• OpenSSH 8.5p1～9.8p1 における脆弱性
• 未認証でRCEが可能（特権不要）
• バージョンを更新することで、パッチが適用されます.

Qualys社の調査によると以下の内容が判明しています.

・競合状態に当たるまでに平均で約1万回の試行が必要になります.
・120秒間(LoginGraceTime)に100件の接続(MaxStartups)が受け入れられる場合、
　競合状態に当たるまでに約3～4時間かかります.
・ASLR (アドレス空間配置のランダム化)を回避する必要があることを考慮すると、
　エクスプロイトを完遂してrootレベルのリモートSSHアクセス権を獲得するまでに、
　6～8時間かかる可能性があります.

https://www.splunk.com/ja_jp/blog/security/cve-2024-6387-regresshion-vulnerability.html
昨年公開され、話題となったことで多くのマシンにはパッチが適用されていますが、いまだに利用されているようです.ペンギンかわいいですね.

攻撃に利用された情報

パスフレーズについては無入力をはじめとし, 一般的なクラック用ファイルに含まれているものがほとんどです.先月に比べ、サービス名や連番など、容易に推測可能なものが多い印象です.
（そのため、公開にあたりマスクはしていません.）

対策

IoT機器の適切なネットワーク設定

パッチの適用に加えて、インターネットへの露呈を防ぐことで、脆弱性への対応が遅れた場合にも侵害されるリスクを大幅に下げることが可能です.
またパッチの適用について、Ripple20 をはじめとする有名な脆弱性はチェックツールがインターネットで配信されています.
https://github.com/LubyRuffy/FingerPrinting-Ripple20

WAF、FWのルール設定

同一の攻撃でも、アドレスやASNを変えることでスキャンや侵入を試すケースが見られました。WAFによる柔軟な検知や詳細なファイアウォールのルール設定が重要です。

来月のレポート

来月は, 今月調べ残した以下の事項について調査したいと思ってます.

• 大量のSMBへの攻撃では, どのような展開がされているのか
• SSHにログイン後の攻撃者の行動
• 突発的な攻撃増加の要因（脆弱性公表後など）