ハニーポットの実験で1分当たり70件の攻撃を受ける――Comparitech.comSSH攻撃が最も多い

比較サイトComparitech.comが、ハニーポットを使ったサイバー攻撃の調査結果を発表した。ハニーポットに対して24時間で10万1545件、1分当り70件の攻撃が加えられたという。

» 2021年05月06日 16時30分 公開
[@IT]

この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。

 比較サイトComparitech.comは2021年4月26日(英国時間)、ハニーポットを使った調査の結果を発表した。ハニーポットは、サイバー攻撃者をおびき寄せ、その挙動を記録するために、無防備なままインターネットに接続して放置したダミーのコンピュータシステム。

 Comparitechの研究者は、インターネットからアクセス可能なさまざまなサービスをエミュレートし、RDP(Remote Desktop Protocol)やSSH(Secure Shell)、MySQL、VNC(Virtual Network Computing)など幅広いプロトコルをサポートするハニーポットデバイスを設置した。セキュリティ対策が一切施されておらず、認証なしでアクセスでき、攻撃が可能な状態とした。どんな手口の攻撃がどれくらいの頻度で発生するか、攻撃はどこから仕掛けられるかなどを調べる狙いだ。

 今回の調査ではオープンソースのハニーポットモニタリングツールスイート「T-Pot」を主に使って、約20のハニーポットサービスとプロトコルをモニタリングした。

 調査の結果、このハニーポットには24時間で10万1545件の攻撃があった。1分当たり70件の割合だ。メリーランド大学が2007年に行った同様の調査では、1日当たりの攻撃発生件数は2244件だった。今回と比べると微々たる数字だ。

SSH攻撃が最も多かった

 ハニーポットに対する攻撃の中で断然多かったのが、SSHブルートフォース(総当たり)攻撃だ。これはうなずける結果だという。ほぼ全てのデバイスが何らかの形で、リモート通信プロトコルのSSHをサポートしているからだ。

 SSHブルートフォース攻撃は、サーバへのSSHアクセスのユーザー名とパスワードを推測しようとするものだ。

SSHブルートフォース攻撃で、ユーザー名として最も多く試みられた文字列(出典:Comparitech.com
SSHブルートフォース攻撃で、パスワードとして最もよく入力が試みられた文字列(出典:Comparitech.com

 Comparitechのハニーポットで記録された攻撃の内訳は次の通り(カッコ内は発生件数)。

  • SSHブルートフォース
     サーバアクセスのためのパスフレーズを推測しようとする攻撃(7万3325件)
  • TCP/UDP攻撃
     TCP/UDPプロトコルとパケットを使用するサービスに対する攻撃(1万2927件)
  • クレデンシャルスティーラー
     マルウェアがパスワードや認証トークンを狙って、標的のデバイスをスキャンする攻撃(6523件)
  • RDPハイジャック
     MicrosoftのRDPを侵害し、Windowsデバイスをリモートから乗っ取る攻撃(5797件)
  • シェルコード攻撃
     標的のデバイスで攻撃コードをリモートから実行しようとする。一般的に、ソフトウェアの脆弱(ぜいじゃく)性を悪用する狙いがある(2263件)
  • ADB攻撃
     Androidデバイスのコマンドラインツール「Android Debug Bridges」を利用した攻撃(487件)
  • Cisco ASAの脆弱性悪用やDoS
     パッチの適用が不十分なCisco Systems製のデバイスを狙う特定の攻撃(53件)
  • Web攻撃
     大抵の場合、Webページから認証情報を盗む(139件)
  • SMTP攻撃
     電子メールサーバやクライアントに対する攻撃(31件)

 最も攻撃されたポートの1〜3位は、5900(VNC)、22(SSH)、443(HTTPS)だった。

最も頻繁に標的にされたポート(出典:Comparitech.com

攻撃者は何を狙ったか

 攻撃者はSSHでハニーポットにアクセスすると、大抵の場合、まずシステムの基本情報を把握しようとした。攻撃者がハニーポットで試用したコマンドのトップ10は次の通り。

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。