ハニーポットの実験で1分当たり70件の攻撃を受ける――Comparitech.com：SSH攻撃が最も多い

比較サイトComparitech.comが、ハニーポットを使ったサイバー攻撃の調査結果を発表した。ハニーポットに対して24時間で10万1545件、1分当り70件の攻撃が加えられたという。

[＠IT]

　比較サイトComparitech.comは2021年4月26日（英国時間）、ハニーポットを使った調査の結果を発表した。ハニーポットは、サイバー攻撃者をおびき寄せ、その挙動を記録するために、無防備なままインターネットに接続して放置したダミーのコンピュータシステム。

　Comparitechの研究者は、インターネットからアクセス可能なさまざまなサービスをエミュレートし、RDP（Remote Desktop Protocol）やSSH（Secure Shell）、MySQL、VNC（Virtual Network Computing）など幅広いプロトコルをサポートするハニーポットデバイスを設置した。セキュリティ対策が一切施されておらず、認証なしでアクセスでき、攻撃が可能な状態とした。どんな手口の攻撃がどれくらいの頻度で発生するか、攻撃はどこから仕掛けられるかなどを調べる狙いだ。

　今回の調査ではオープンソースのハニーポットモニタリングツールスイート「T-Pot」を主に使って、約20のハニーポットサービスとプロトコルをモニタリングした。

　調査の結果、このハニーポットには24時間で10万1545件の攻撃があった。1分当たり70件の割合だ。メリーランド大学が2007年に行った同様の調査では、1日当たりの攻撃発生件数は2244件だった。今回と比べると微々たる数字だ。

SSH攻撃が最も多かった

　ハニーポットに対する攻撃の中で断然多かったのが、SSHブルートフォース（総当たり）攻撃だ。これはうなずける結果だという。ほぼ全てのデバイスが何らかの形で、リモート通信プロトコルのSSHをサポートしているからだ。

　SSHブルートフォース攻撃は、サーバへのSSHアクセスのユーザー名とパスワードを推測しようとするものだ。

SSHブルートフォース攻撃で、ユーザー名として最も多く試みられた文字列（出典：Comparitech.com）

SSHブルートフォース攻撃で、パスワードとして最もよく入力が試みられた文字列（出典：Comparitech.com）

　Comparitechのハニーポットで記録された攻撃の内訳は次の通り（カッコ内は発生件数）。

• SSHブルートフォース
  　サーバアクセスのためのパスフレーズを推測しようとする攻撃（7万3325件）
• TCP/UDP攻撃
  　TCP/UDPプロトコルとパケットを使用するサービスに対する攻撃（1万2927件）
• クレデンシャルスティーラー
  　マルウェアがパスワードや認証トークンを狙って、標的のデバイスをスキャンする攻撃（6523件）
• RDPハイジャック
  　MicrosoftのRDPを侵害し、Windowsデバイスをリモートから乗っ取る攻撃（5797件）
• シェルコード攻撃
  　標的のデバイスで攻撃コードをリモートから実行しようとする。一般的に、ソフトウェアの脆弱（ぜいじゃく）性を悪用する狙いがある（2263件）
• ADB攻撃
  　Androidデバイスのコマンドラインツール「Android Debug Bridges」を利用した攻撃（487件）
• Cisco ASAの脆弱性悪用やDoS
  　パッチの適用が不十分なCisco Systems製のデバイスを狙う特定の攻撃（53件）
• Web攻撃
  　大抵の場合、Webページから認証情報を盗む（139件）
• SMTP攻撃
  　電子メールサーバやクライアントに対する攻撃（31件）

　最も攻撃されたポートの1〜3位は、5900（VNC）、22（SSH）、443（HTTPS）だった。

最も頻繁に標的にされたポート（出典：Comparitech.com）

攻撃者は何を狙ったか

　攻撃者はSSHでハニーポットにアクセスすると、大抵の場合、まずシステムの基本情報を把握しようとした。攻撃者がハニーポットで試用したコマンドのトップ10は次の通り。