春だけじゃない。年中だ。

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 2026 年 5 月の同じ週に、こんな組み合わせを見た。 The Hacker News の xlabs_v1 ボットネット記事 → ELK で確認したら、まったく同じサブネットから 11,000 件超の攻撃を観測済みだった Copy.Fail と Dirty Flag という Linux kernel のローカル特権昇格脆弱性が立て続けに公開 後者にはまだ CVE 番号すら付いていない リモートからの侵入観測と、侵入後の権限昇格対策は、本来なら別々の話に見える。けれど自分のように VPS にハニーポットを置いている側からすると、入口（攻撃の流入）と出口（侵入されたら何が起きるか）は地続きに見える。 今回は 「公式パッチを待つ間に kernel LPE を modprobe blacklist で塞ぐ」 というシンプルな手順のメモを書く。ついでに、その動機になった xlabs_v1 の話も軽くだけ触れる。 1. 入口の話：xlabs_v1 を ELK で照合してみた 5/7、The Hacker News が xlabs_v1 という Mirai 派生ボットネットの記事を出した。ADB（Android Debug Bridge、5555/tcp）経由で IoT デバイスを乗っ取り、DDoS-for-hire（Minecraft 等のゲームサーバを標的にした 21 種のフラッド変種を備える）として運用されるやつだ。 C2 は 176.65.139[.]44（AS51396 Pfcloud, ルクセンブルク）。 ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 先日、OX Security がこんなレポートを公開した。 The Mother of All AI Supply Chains: Critical, Systemic Vulnerability at the Core of Anthropic’s MCP 要点だけ書くと、MCP サーバの設定ファイルにコピペしたコマンドが、そのまま OS 上で実行される設計になっている、という話だ。 「by design」と表現されているのが肝で、バグではない。Anthropic もその設計を認めた上で、サニタイズ（要は問題が無いかの検証）は開発者の責任だと述べている。 そもそもMCPってなんだっけ？ってなったので少しだけ調べなおしてみた。 そもそもMCP サーバとは何か Claude Code 、 GitHub Copilot Chat 、Gemini CLI等は、外部ツールと連携するために MCP（Model Context Protocol）という仕組みを使う。 設定ファイルにこう書くと、 { "mcpServers": { "example": { "command": "npx", "args": ["-y", "some-mcp-server"] } } } AI クライアントが起動時にこのコマンドを実行し、サーバとして立ち上げる。 「設定ファイルを編集しているだけ」という感覚になりやすいが、実態は OS コマンドの実行権限を設定ファイルに与えている のと同じだ。 何が問題なのか command と args に何を書いても、クライアントはそのまま実行する。入力値の検証はない。これが設計上の前提になっている。 ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。 今回の主役は Wordpot（WordPressハニーポット）。Kibanaでログを眺めていたら、36,000件を超えるRDP試行の中に1件だけ、妙なアクセスが混じっていました。 送り主の正体は Palo Alto Networks の商用スキャナー でした。 1. 問題のログ honeypots全体のログを見ていたとき、protocol=wordpotのエントリが1件だけあることに気づきました。 { "src_ip": "205.210.31.87", "url": "/wp-login.php", "method": "POST", "user_agent": "Hello from Palo Alto Networks. We are mapping the internet for research and security purposes. For more information, visit https://www.paloaltonetworks.com/cortex/cortex-xpanse", "plugin": "badlogin/enumeration", "honeypot_type": "honeypots", "protocol": "wordpot" } "Hello from Palo Alto Networks." というUser-Agent。そのまんますぎて笑いました。 2. Cortex Xpanse とは Cortex Xpanse は Palo Alto Networks が提供する商用の Attack Surface Management (ASM) プラットフォームです。 ASM（アタックサーフェス管理）とは、自社のインターネット公開資産を外部から継続的にスキャンして、「攻撃者から見た自社の姿」を把握するためのセキュリティ製品です。 [企業のセキュリティ担当] ↓ "うちの公開アセットを全部洗い出したい" [Cortex Xpanse] ↓ インターネット全体を継続スキャン [対象企業のサーバ・VPS・クラウド資産を発見] ↓ レポート生成 [担当者] "あ、知らないサーバが公開されてる！" スキャンの仕様上、インターネット上のすべてのIPアドレスが対象になります。私のVPSも「誰かの企業資産かもしれない対象」として定期的にスキャンされている、ということです。 ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。（2026/03/29〜30 観測データ） Cowrie（SSHハニーポット）で、クリプトマイナーマルウェア「RedTail」のサンプルを複数捕捉しました。2日間で22セッションのSSHログイン成功が確認され、各セッションで共通した侵入後の操作が観測されています。 今回は特に2点に注目します。Diicot帰属の根拠となる mdrfckr シグネチャと、バイナリに埋め込まれたXMRigをbase64のマジックバイトで抽出する手順です。 1. 攻撃の流れ ① SSH ブルートフォース → ログイン成功 攻撃者は複数のIPアドレスから root アカウントへの辞書攻撃を仕掛け、ハニーポットへのログインに成功しています。攻撃元は世界各地に分散しており、単一の攻撃者が複数の踏み台（侵害済みホストやVPS）を使い回してるっぽいです。 ② ログイン直後の操作 ログイン成功後、攻撃者は定型的な一連のコマンドを実行しました。Cowrieのログから確認できた操作を順に見ていきます。 持続化（Persistence） まず .ssh ディレクトリのイミュータブルフラグを解除したうえで、攻撃者自身のSSH公開鍵を authorized_keys に追記します。これにより、パスワードなしでいつでもSSH接続できるバックドアが設置されます。 今回植え付けられた公開鍵のコメント欄には mdrfckr という文字列がありました。ルーマニア語のスラングに由来するとされており、Diicotキャンペーンでの使用が複数報告されている既知のIoCです。 その後 echo "root:＜ランダム生成パスワード＞" | chpasswd でrootパスワードを変更します。セッションごとに異なるパスワードが使われており、自動生成されたものだと思います。 競合マルウェアの排除 他の攻撃者が置いたマイナーを名指しで停止・削除します。 攻撃者も競合社会で生きてますね。犯罪者なので同情はしませんけど。 # 競合スクリプトの停止 pkill -9 secure.sh pkill -9 auth.sh # c3pool系マイナーの無効化を試みる systemctl disable c3pool_miner systemctl stop c3pool_miner c3pool_miner はc3poolのインストーラがsystemdサービスとして登録するコンポーネントで、スクリプトはこのサービス名を名指しで停止・無効化しようとしています。対象ホストにc3poolが存在しない場合は単に無視されます。 crontabのエントリも丸ごとクリアする仕組みになっていて、wget・curl・base64 -d などの文字列を含む行を検出・削除する関数が組み込まれており、他マルウェアの再起動仕掛けを潰す設計になっています。 システム偵察（Discovery） マイナーを動かすためにホストのスペックを確認します。 uname -a cat /proc/cpuinfo | grep "model name" free -m df -h ③ RedTail 本体の展開 アーキテクチャ判定（x86_64 / i686 / arm8 / arm7）に応じたバイナリを展開します。ファイル名はランダムな文字列で保存・実行し、実行後は redtail.* のファイルを削除して痕跡を消します。 ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。（2026/03/24 観測データ） 今回は2点を取り上げます。 ADBHoney が ARM ELFのコインマイナーワームをキャプチャ go-pot で CVE-2025-55182（React2Shell）を探索するスキャナーを確認 1. ADBHoney — コインマイナーワームを捕獲 ADB（Android Debug Bridge）ポートとは ADBはAndroidデバイスの開発・デバッグ用プロトコルで、TCP/5555番ポートを使います。本来は開発者向けの機能ですが、Androidデバイス（スマートフォン・テレビ・IoT機器など）がこのポートを開放したままインターネットに晒されていると、認証なしでリモートからコマンドを実行できてしまいます。 ADBHoneyはこのポートを模倣するハニーポットで、攻撃者がどんなコマンドを投げてくるかを記録します。 観測情報 中国からのIPがADB/5555番に接続してきました。 攻撃者がまずやったのはCPUアーキテクチャの確認。次に「ARMバイナリ」を /data/local/tmp に送り込み、com.ufo.miner というAPKをインストールして起動——という一連の手順を粛々と実行していきました。 uname -m 2>/dev/null || getprop ro.product.cpu.abi # CPUアーキ確認 [ARM ELF バイナリ送信] # マルウェア投下 pm path com.ufo.miner # インストール確認 am start -n com.ufo.miner/com.example.test.MainActivity # 起動 投下されたバイナリをVirusTotalで確認したところ、65エンジン中38が検知（trojan.adbminer/ienyf、ファミリー：adbminer / mirai）。 サンプルの特徴 このサンプルはADB.Miner（別名Fbot）と呼ばれる既知のコインマイナーワームです。いくつかの特徴的な動作を持っています。 自己拡散：Miraiの拡散コードを流用しており、感染した端末が次の犠牲者を探してADB/5555番をスキャンし続けます。ワームとして自律的に広がっていくタイプです。 競合排除：ps | grep で動いている他のマイナープロセスを見つけ、kill で排除します。リソースを独占するために競合するマルウェアを蹴落とします。 サンドボックス検知：detect-debug-environment タグが確認されており、解析環境を検知して動作を変える仕組みが内蔵されています。 偽装：マイニング用APKのパッケージ名はVirusTotalの検体ページで確認できます。 サンプル情報 種別 値 SHA256 71ecfb7bbc015b2b192c05f726468b6f08fcc804c093c718b950e688cc414af5 ファイルサイズ 225.78 KB アーキテクチャ ARM ELF VT 検知率 38/65（58%） 攻撃元IPの詳細情報（GreyNoise / VirusTotalで確認できます）： ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録 です。(2026/03/22観測データ) DionaeaがWannaCry関連のファイルをキャプチャ Cowrieで subtitle / wordpress / here / the というユーザー名によるSSH試行が増加。発信元は台湾（TW）に集中 1. Dionaea — WannaCryサンプルを捕獲 Dionaea（SMBハニーポット）でWannaCry関連と思われるファイルがキャプチャされました。 サンプルの概要 WannaCryは2017年5月に流行した、MS17-010（SMBv1の脆弱性群）を悪用するランサムウェアです。ワーム機能を持っており、感染端末が自動で次のターゲットを探索・感染させます。キルスイッチの登録により暗号化活動は止まっていますが、自己拡散部分は今も動き続けています。 今回キャプチャしたサンプルはVirusTotalのタグに cve-2017-0147（EternalChampion）が付与されており、EternalBlue（CVE-2017-0144）と同じMS17-010ファミリの一員と考えられます。Florian Roth氏が2017年5月12日に作成したYARAルール（Identifier: WannaCry）にもマッチしており、初期アウトブレイク時のサンプルと同一またはそれに近いものと見られます。 現代のセキュリティ製品であれば問題なく検知・ブロックできると思います。ただ、2026年になっても未パッチ環境を探してインターネットを漂い続けているという点は、それはそれで興味深い観測でした。 IoC 種別 値 MD5 eca5e61b6f451e27ff95c5c7c0571d67 SHA256 5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af ファイル種別 PE DLL（overlayあり） VT タグ pedll overlay cve-2017-0147 exploit spreader YARA マッチ WannaCry (Author: Florian Roth, 2017-05-12) VirusTotal: https://www.virustotal.com/gui/file/5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af 対策 SMBポート（TCP/445）をインターネットに公開しない シグネチャなどupdate系を最新に保つ（これだけで十分対処可能） 2. 台湾発のSSHブルートフォース — WordPress狙いの試行 何が起きたか Cowrieのログで、普段とは異なるユーザー名によるSSHログイン試行の増加を確認しました。 subtitle / wordpress / here / the 発信元は台湾（TW）に集中しており、短時間に集中したバースト攻撃でした。 ...

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網のVPSに設置したT-Potハニーポットの観測記録です。 ローカル環境のELK Stackでログを可視化・分析しています。 項目 内容 観測期間 2026年3月11日〜17日（7日間） 設置場所 国内VPS（NTT網） 分析基盤 ELK Stack（Elasticsearch + Logstash + Kibana） 攻撃元の国別分布 順位 国 イベント数 1 ブラジル 203,046 2 日本 93,602 3 中国 46,004 4 アメリカ 34,327 5 インドネシア 20,687 ブラジルが圧倒的1位。日本（国内）からの攻撃も多く、国内感染端末やレンタルサーバーが踏み台として悪用されている可能性があります。 SSH ブルートフォース（Cowrie） 全イベントの約64%をCowrie（SSHハニーポット）が占めました。 よく試行されたユーザー名 TOP3 1. root 2. 345gs5662d34 ← 特定IoTデバイスのデフォルト認証情報 3. admin よく試行されたパスワード TOP5 1. 123456 2. 345gs5662d34 3. 3245gs5662d34 4. 1234 5. 123 345gs5662d34 / 3245gs5662d34 はMirai系ボットネットのcredentialリストに含まれるIoTデバイスのデフォルト認証情報です。これを使った自動スキャンが大量に観測されました。 MITRE ATT&CK マッピング Technique ID Technique Name T1110.001 Brute Force: Password Guessing T1059.004 Command and Scripting Interpreter: Unix Shell T1082 System Information Discovery Suricata アラート傾向 最多カテゴリは Attempted Administrator Privilege Gain（45,805件）。 ...