春だけじゃない。年中だ。

個人ブログです。気になったことを記録していきます。

※ 掲載内容は個人の調査・見解に基づくものであり、正確性を保証するものではありません。情報の利用はご自身の責任でお願いします。


License & Attribution

  • T-Pot by Deutsche Telekom Security GmbH — GitHub (GPL v3.0)
  • This product includes GeoLite2 data created by MaxMind, available from https://www.maxmind.com

2026年6月の雑記(のんびり有給記録)

はじめに 今月で7年ぐらいお世話になった会社を退職します。 退職理由は、情シスとか違う形のSEをしてみたかった。って理由です。 IPアドレスの意味すらわからない未経験から私の面倒見てくれた会社で、感謝こそあれど不満はなく、今後もお付き合いできるといいなーと思ってます。 今は有給消化中でして、中々できなかった事をめっちゃユルユルやってる今日この頃です。転職先は決まってます。7/1からです。 もらった花のこと 退職にあたり、壮行会をやってもらいました。 かなーーり個人的な好みですが、派手に送り出してもらう事が嫌いでして。 事務所でダラっとやってもらいました。で、花束とかタンブラーとか地元のお菓子とか色々もらいました。アジサイがきれいだった。画像取り忘れたけど。。。 ドライフラワーにしてみた 私、お花が好きでして。 月/1~2回ぐらい花買って花瓶に飾ってニコニコする程度に好きなのです。(結婚してから無くなりましたが) そして自分で買ったもんは枯れても良いんですけど、プレゼントとかでもらう分には枯れると悲しくなっちゃうタイプの人間です。 ってことで、“枯れない花” にしてみようという結論に至りました。 ハーバリウムってやつです。 用意したもの やる気 適当な紐 めっちゃ細かいシリカゲル 防虫スプレー ハーバリウム用オイル ちゃんと蓋できる100均のタッパー 飾ってよさげな入れ物(100均の予定) 手順 どの方法で乾燥させるか目星を付ける。あとやる気を出す。 乾燥方法は2つ試しました。 吊るす方式(ハンギング法) 水気を取って重ならないように平らな場所に広げる 防虫スプレーを裏表かける 紐で縛る。風通しのいい場所につるす シリカゲル方式(シリカゲル法) 水気を取る いらない茎を排除する 花を入れて、その上にシリカゲルを入れる タッパの蓋閉めて振る 気をつけたこと・失敗したこと とりあえず、虫が湧くと離婚届が出てきそうなので注意を払おうと肝に銘じました。 聞いてみたところ近所のお花屋さん曰く、基本的に購入した花は虫が沸きにくいらしいです。 家で沸くと悲しいので外でやるのがいいのかなー。って思い、外干ししてます。あと我が家は風通しがマジ悪いです。 アジサイはやる気出してる間に枯れました。。。日本は湿度的にも厳しいらしいです。(ドライインウォーター法) 乾燥中 こんな感じです。うまくできそうな気はしています。たぶん、大丈夫です。 100均の試験管には入ってるのは、シリカゲルしたは良いがヤル気が出ず、1年シリカゲルの中で放置したやつです。ついに仕上げました。 仕上がったら別記事でまた写真載せるかもです。そこも私のやる気次第ですね。出来上がったら別記事で上げます。たぶん。 その他 10日ぐらいの有給なので、やりかけのゲームをトロコンしました。董卓がかっこいいゲームは素晴らしい。 DLC含め、合計180h~200hぐらいかかったと思います。アクション系は苦手でして。。。赤兎馬取るのが一番苦労しました。 DLCはそこまで詰まった覚えないですね。 使ったもの ドライフラワー作りで使ったものを置いておきます。 シリカゲル ドライフラワー用 乾燥剤 1kg ネオマーボン 押し花・ドライフラワー用防虫スプレー(180ml) ハーバリウム オイル ハーバリウム 液 1リットル 1000ml 日本製

June 24, 2026 · 1 分 · 乳酸菌

【観測記録 #005】Feo Prest /24— ASN特化型 SSH ブルートフォースの観測

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 観測の発端 Honeypot VPS は WebARENA Indigo を使っています。理由はシンプルに二点。 安い。 備え付けFWがよさげ。 それ以上でも以下でもないのですが、ある日、興味をそそられる試行を見かけました。 SSH ハニーポット(Cowrie)に対する試行で username: arena 明らかにサーバインフラの背景を考慮して試行しているので、面白いなぁと思い記事化します。 あと、いつもは 分析:私 + claude code 執筆:Claude code レビュー/修正:Claude code でやってますが、たまには生身の人間がメインで書いてみます。タイポしまくるのでレビューはしてもらうけど。 観測サマリ 項目 値 観測期間 2026-05-06 〜 2026-06-04(23日間) 観測ハニーポット Cowrie (T-Pot VPS) 対象イベント cowrie.login.failed 主要観測対象 username.keyword: "arena" への試行 全期間 arena 試行数 697 件 ISP数 10 ユニーク source_ip 117 IPs 全体の傾向 1か月ぐらいの目線で見ると、ピーク→徐々に縮小の傾向が見られました。 当方は「SSHブルートフォースはだいたい単純に辞書を参照してひたすら回す。」みたいな認識でして、流行り廃りがあるとは思っていませんでした。 2026-05-06以前はカウント無かったため、この辺りで辞書に載った or ASN辺りからインフラ把握して辞書に組み込むナニカ が公開されたんだろうなと妄想しています。 ASN/ISPを見てみる まずASNのorganizationを見てみました。(ASNはGeo IPから引っ張ってきてます。) ...

June 5, 2026 · 2 分 · 乳酸菌

T-Potを個人VPSで運用する ― ELKを分離して軽くする構成と、つまずきポイント

ハニーポットを個人で運用する、というと「一部のマニアの趣味」に聞こえるかもしれません。実際そうです。 ただ、やってみると学べることがかなり多くて、個人的にはコスパの良い学習環境だと思っています。この記事では、T-Pot をVPSで運用するにあたっての構成・維持費・つまずいたポイントを、実際に運用している立場からまとめます。 「これからハニーポットを立ててみたい」という人の、つまずき回避の参考になればうれしいです。 そもそもT-Potとは T-Pot は、Deutsche Telekom Security が公開しているハニーポットのオールインワン環境です。 ハニーポットというのは、ざっくり言うとわざと攻撃させるためのおとりサーバのこと。攻撃者がやってくるのを待ち構えて、何をしてくるかを観察・記録します。 T-Pot のいいところは、数十種類のハニーポットを Docker でまとめて立ち上げてくれること。めちゃめちゃ種類あるので、是非とも公式github見て欲しいです。 https://github.com/telekom-security/tpotce/blob/master/README.md これらを1台にまとめて動かせるので、「実攻撃トラフィックを観測したい」という入り口にはぴったりです。 全体構成 ― あえてELKを分離する ここがこの記事の本題です。 T-Pot はデフォルトで構築すると、ログの可視化基盤である ELK Stack(Elasticsearch / Logstash / Kibana)が丸ごと付いてきます。便利。 システム要件はこんな感じです。 T-Pot Type RAM Storage Hive 16GB 256GB SSD Sensor 8GB 128GB SSD 企業運営だと、難なくデプロイできるでしょう。でも、私は収益も今のとこはない個人。 ELK、重い。 そこで、ELKをVPSから切り離して、自宅のPCで動かす構成にしています。図にするとこうです。 インターネット(攻撃者) │ ▼ ポート 1〜N 番を受ける ┌────────────────────────────┐ │ VPS(WebARENA Indigo) │ │ │ │ T-Pot CUSTOM EDITION │ │ ├ Cowrie(SSH/Telnet) │ │ ├ Dionaea(マルウェア捕獲) │ │ ├ Suricata(IDS) │ │ └ …他多数 │ │ │ │ ※ ELKは載せない(軽量化) │ │ ログはファイルに溜めておくだけ │ └────────────────────────────┘ │ │ SCPで手動取得(週1ペースでもOK) ▼ ┌────────────────────────────┐ │ 自宅PC(普段使いのマシン) │ │ │ │ ELK Stack(Docker) │ │ ├ Elasticsearch(保存・検索) │ │ ├ Logstash(取り込み・加工) │ │ └ Kibana(可視化) │ └────────────────────────────┘ VPS側は「攻撃を受けてログを溜めるだけ」に専念させて、重い分析・可視化は手元のPCに任せる、という分担です。 ...

June 5, 2026 · 2 分 · 乳酸菌

Copy.Fail と Dirty Flag と xlabs_v1 — 侵入のリモート観測と LPE 対策、ハニーポット運用者の両輪

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 2026 年 5 月の同じ週に、こんな組み合わせを見た。 The Hacker News の xlabs_v1 ボットネット記事 → ELK で確認したら、まったく同じサブネットから 11,000 件超の攻撃を観測済みだった Copy.Fail と Dirty Flag という Linux kernel のローカル特権昇格脆弱性が立て続けに公開 後者にはまだ CVE 番号すら付いていない リモートからの侵入観測と、侵入後の権限昇格対策は、本来なら別々の話に見える。けれど自分のように VPS にハニーポットを置いている側からすると、入口(攻撃の流入)と出口(侵入されたら何が起きるか)は地続きに見える。 今回は 「公式パッチを待つ間に kernel LPE を modprobe blacklist で塞ぐ」 というシンプルな手順のメモを書く。ついでに、その動機になった xlabs_v1 の話も軽くだけ触れる。 1. 入口の話:xlabs_v1 を ELK で照合してみた 5/7、The Hacker News が xlabs_v1 という Mirai 派生ボットネットの記事を出した。ADB(Android Debug Bridge、5555/tcp)経由で IoT デバイスを乗っ取り、DDoS-for-hire(Minecraft 等のゲームサーバを標的にした 21 種のフラッド変種を備える)として運用されるやつだ。 C2 は 176.65.139[.]44(AS51396 Pfcloud, ルクセンブルク)。 ...

May 8, 2026 · 4 分 · 乳酸菌

MCPサーバを気軽にコピペしていいのかという話

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 先日、OX Security がこんなレポートを公開した。 The Mother of All AI Supply Chains: Critical, Systemic Vulnerability at the Core of Anthropic’s MCP 要点だけ書くと、MCP サーバの設定ファイルにコピペしたコマンドが、そのまま OS 上で実行される設計になっている、という話だ。 「by design」と表現されているのが肝で、バグではない。Anthropic もその設計を認めた上で、サニタイズ(要は問題が無いかの検証)は開発者の責任だと述べている。 そもそもMCPってなんだっけ?ってなったので少しだけ調べなおしてみた。 そもそもMCP サーバとは何か Claude Code 、 GitHub Copilot Chat 、Gemini CLI等は、外部ツールと連携するために MCP(Model Context Protocol)という仕組みを使う。 設定ファイルにこう書くと、 { "mcpServers": { "example": { "command": "npx", "args": ["-y", "some-mcp-server"] } } } AI クライアントが起動時にこのコマンドを実行し、サーバとして立ち上げる。 「設定ファイルを編集しているだけ」という感覚になりやすいが、実態は OS コマンドの実行権限を設定ファイルに与えている のと同じだ。 何が問題なのか command と args に何を書いても、クライアントはそのまま実行する。入力値の検証はない。これが設計上の前提になっている。 ...

April 22, 2026 · 1 分 · 乳酸菌

攻撃者だと思ったら Palo Alto だった — Cortex XpanseのASMスキャナーを誤検知した話

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。 今回の主役は Wordpot(WordPressハニーポット)。Kibanaでログを眺めていたら、36,000件を超えるRDP試行の中に1件だけ、妙なアクセスが混じっていました。 送り主の正体は Palo Alto Networks の商用スキャナー でした。 1. 問題のログ honeypots全体のログを見ていたとき、protocol=wordpotのエントリが1件だけあることに気づきました。 { "src_ip": "205.210.31.87", "url": "/wp-login.php", "method": "POST", "user_agent": "Hello from Palo Alto Networks. We are mapping the internet for research and security purposes. For more information, visit https://www.paloaltonetworks.com/cortex/cortex-xpanse", "plugin": "badlogin/enumeration", "honeypot_type": "honeypots", "protocol": "wordpot" } "Hello from Palo Alto Networks." というUser-Agent。そのまんますぎて笑いました。 2. Cortex Xpanse とは Cortex Xpanse は Palo Alto Networks が提供する商用の Attack Surface Management (ASM) プラットフォームです。 ASM(アタックサーフェス管理)とは、自社のインターネット公開資産を外部から継続的にスキャンして、「攻撃者から見た自社の姿」を把握するためのセキュリティ製品です。 [企業のセキュリティ担当] ↓ "うちの公開アセットを全部洗い出したい" [Cortex Xpanse] ↓ インターネット全体を継続スキャン [対象企業のサーバ・VPS・クラウド資産を発見] ↓ レポート生成 [担当者] "あ、知らないサーバが公開されてる!" スキャンの仕様上、インターネット上のすべてのIPアドレスが対象になります。私のVPSも「誰かの企業資産かもしれない対象」として定期的にスキャンされている、ということです。 ...

April 7, 2026 · 1 分 · 乳酸菌

【観測記録 #004】RedTail クリプトマイナーをCowrieで捕捉 — ルーマニア系DiicotのSSH侵入手法を追う

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。(2026/03/29〜30 観測データ) Cowrie(SSHハニーポット)で、クリプトマイナーマルウェア「RedTail」のサンプルを複数捕捉しました。2日間で22セッションのSSHログイン成功が確認され、各セッションで共通した侵入後の操作が観測されています。 今回は特に2点に注目します。Diicot帰属の根拠となる mdrfckr シグネチャと、バイナリに埋め込まれたXMRigをbase64のマジックバイトで抽出する手順です。 1. 攻撃の流れ ① SSH ブルートフォース → ログイン成功 攻撃者は複数のIPアドレスから root アカウントへの辞書攻撃を仕掛け、ハニーポットへのログインに成功しています。攻撃元は世界各地に分散しており、単一の攻撃者が複数の踏み台(侵害済みホストやVPS)を使い回してるっぽいです。 ② ログイン直後の操作 ログイン成功後、攻撃者は定型的な一連のコマンドを実行しました。Cowrieのログから確認できた操作を順に見ていきます。 持続化(Persistence) まず .ssh ディレクトリのイミュータブルフラグを解除したうえで、攻撃者自身のSSH公開鍵を authorized_keys に追記します。これにより、パスワードなしでいつでもSSH接続できるバックドアが設置されます。 今回植え付けられた公開鍵のコメント欄には mdrfckr という文字列がありました。ルーマニア語のスラングに由来するとされており、Diicotキャンペーンでの使用が複数報告されている既知のIoCです。 その後 echo "root:<ランダム生成パスワード>" | chpasswd でrootパスワードを変更します。セッションごとに異なるパスワードが使われており、自動生成されたものだと思います。 競合マルウェアの排除 他の攻撃者が置いたマイナーを名指しで停止・削除します。 攻撃者も競合社会で生きてますね。犯罪者なので同情はしませんけど。 # 競合スクリプトの停止 pkill -9 secure.sh pkill -9 auth.sh # c3pool系マイナーの無効化を試みる systemctl disable c3pool_miner systemctl stop c3pool_miner c3pool_miner はc3poolのインストーラがsystemdサービスとして登録するコンポーネントで、スクリプトはこのサービス名を名指しで停止・無効化しようとしています。対象ホストにc3poolが存在しない場合は単に無視されます。 crontabのエントリも丸ごとクリアする仕組みになっていて、wget・curl・base64 -d などの文字列を含む行を検出・削除する関数が組み込まれており、他マルウェアの再起動仕掛けを潰す設計になっています。 システム偵察(Discovery) マイナーを動かすためにホストのスペックを確認します。 uname -a cat /proc/cpuinfo | grep "model name" free -m df -h ③ RedTail 本体の展開 アーキテクチャ判定(x86_64 / i686 / arm8 / arm7)に応じたバイナリを展開します。ファイル名はランダムな文字列で保存・実行し、実行後は redtail.* のファイルを削除して痕跡を消します。 ...

March 31, 2026 · 2 分 · 乳酸菌

【観測記録 #003】ADBハニーポットでMirai派生コインマイナーを捕獲 / React2Shell(CVE-2025-55182)の実スキャン観測

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。(2026/03/24 観測データ) 今回は2点を取り上げます。 ADBHoney が ARM ELFのコインマイナーワームをキャプチャ go-pot で CVE-2025-55182(React2Shell)を探索するスキャナーを確認 1. ADBHoney — コインマイナーワームを捕獲 ADB(Android Debug Bridge)ポートとは ADBはAndroidデバイスの開発・デバッグ用プロトコルで、TCP/5555番ポートを使います。本来は開発者向けの機能ですが、Androidデバイス(スマートフォン・テレビ・IoT機器など)がこのポートを開放したままインターネットに晒されていると、認証なしでリモートからコマンドを実行できてしまいます。 ADBHoneyはこのポートを模倣するハニーポットで、攻撃者がどんなコマンドを投げてくるかを記録します。 観測情報 中国からのIPがADB/5555番に接続してきました。 攻撃者がまずやったのはCPUアーキテクチャの確認。次に「ARMバイナリ」を /data/local/tmp に送り込み、com.ufo.miner というAPKをインストールして起動——という一連の手順を粛々と実行していきました。 uname -m 2>/dev/null || getprop ro.product.cpu.abi # CPUアーキ確認 [ARM ELF バイナリ送信] # マルウェア投下 pm path com.ufo.miner # インストール確認 am start -n com.ufo.miner/com.example.test.MainActivity # 起動 投下されたバイナリをVirusTotalで確認したところ、65エンジン中38が検知(trojan.adbminer/ienyf、ファミリー:adbminer / mirai)。 サンプルの特徴 このサンプルはADB.Miner(別名Fbot)と呼ばれる既知のコインマイナーワームです。いくつかの特徴的な動作を持っています。 自己拡散:Miraiの拡散コードを流用しており、感染した端末が次の犠牲者を探してADB/5555番をスキャンし続けます。ワームとして自律的に広がっていくタイプです。 競合排除:ps | grep で動いている他のマイナープロセスを見つけ、kill で排除します。リソースを独占するために競合するマルウェアを蹴落とします。 サンドボックス検知:detect-debug-environment タグが確認されており、解析環境を検知して動作を変える仕組みが内蔵されています。 偽装:マイニング用APKのパッケージ名はVirusTotalの検体ページで確認できます。 サンプル情報 種別 値 SHA256 71ecfb7bbc015b2b192c05f726468b6f08fcc804c093c718b950e688cc414af5 ファイルサイズ 225.78 KB アーキテクチャ ARM ELF VT 検知率 38/65(58%) 攻撃元IPの詳細情報(GreyNoise / VirusTotalで確認できます): ...

March 25, 2026 · 2 分 · 乳酸菌

【観測記録 #002】WannaCryサンプル捕獲と台湾発のWordPress狙いSSH試行 — Dionaeaログ+CVE-2026-4314

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録 です。(2026/03/22観測データ) DionaeaがWannaCry関連のファイルをキャプチャ Cowrieで subtitle / wordpress / here / the というユーザー名によるSSH試行が増加。発信元は台湾(TW)に集中 1. Dionaea — WannaCryサンプルを捕獲 Dionaea(SMBハニーポット)でWannaCry関連と思われるファイルがキャプチャされました。 サンプルの概要 WannaCryは2017年5月に流行した、MS17-010(SMBv1の脆弱性群)を悪用するランサムウェアです。ワーム機能を持っており、感染端末が自動で次のターゲットを探索・感染させます。キルスイッチの登録により暗号化活動は止まっていますが、自己拡散部分は今も動き続けています。 今回キャプチャしたサンプルはVirusTotalのタグに cve-2017-0147(EternalChampion)が付与されており、EternalBlue(CVE-2017-0144)と同じMS17-010ファミリの一員と考えられます。Florian Roth氏が2017年5月12日に作成したYARAルール(Identifier: WannaCry)にもマッチしており、初期アウトブレイク時のサンプルと同一またはそれに近いものと見られます。 現代のセキュリティ製品であれば問題なく検知・ブロックできると思います。ただ、2026年になっても未パッチ環境を探してインターネットを漂い続けているという点は、それはそれで興味深い観測でした。 IoC 種別 値 MD5 eca5e61b6f451e27ff95c5c7c0571d67 SHA256 5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af ファイル種別 PE DLL(overlayあり) VT タグ pedll overlay cve-2017-0147 exploit spreader YARA マッチ WannaCry (Author: Florian Roth, 2017-05-12) VirusTotal: https://www.virustotal.com/gui/file/5dd55be03544553363ea4236ec0eb8ccfdc00b946783ebbc3126d19f463373af 対策 SMBポート(TCP/445)をインターネットに公開しない シグネチャなどupdate系を最新に保つ(これだけで十分対処可能) 2. 台湾発のSSHブルートフォース — WordPress狙いの試行 何が起きたか Cowrieのログで、普段とは異なるユーザー名によるSSHログイン試行の増加を確認しました。 subtitle / wordpress / here / the 発信元は台湾(TW)に集中しており、短時間に集中したバースト攻撃でした。 ...

March 23, 2026 · 1 分 · 乳酸菌

【観測記録 #001】国内NTT網ハニーポット 設置初週の観測 — Cowrie/Suricataログから見える攻撃トラフィック

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網のVPSに設置したT-Potハニーポットの観測記録です。 ローカル環境のELK Stackでログを可視化・分析しています。 項目 内容 観測期間 2026年3月11日〜17日(7日間) 設置場所 国内VPS(NTT網) 分析基盤 ELK Stack(Elasticsearch + Logstash + Kibana) SSH ブルートフォース(Cowrie) 全イベントの約64%をCowrie(SSHハニーポット)が占めました。 よく試行されたユーザー名 TOP3 1. root 2. 345gs5662d34 ← SSHボットが世界中で使い回す定番文字列 3. admin よく試行されたパスワード TOP5 1. 123456 2. 345gs5662d34 3. 3245gs5662d34 4. 1234 5. 123 345gs5662d34 / 3245gs5662d34 は、SSHブルートフォースボットが世界中で使い回している定番の認証情報です。Miraiの有名な61組リストには含まれていませんが、SANS ISC などのハニーポットでも頻出する文字列で、Polycom CX600 IP電話のデフォルト認証情報という説が有力です(確信度:中)。これを使った自動スキャンが大量に観測されました。 考察:345gs5662d34 という奇妙な文字列の正体 123456 や admin が試されるのは直感的にわかります。誰でも思いつく弱いパスワードだからです。でも 345gs5662d34 は違います。人間が思いつく文字列ではありません。これが2位・3位に食い込んでいるのは、それだけ多くのボットが同じcredentialリストをコピーして使い回していることの裏返しです。 出荷時のデフォルト認証情報が特定機器に埋め込まれ、それがボット間で共有され続けている、という構図です。攻撃者はこの値が「どの機器のものか」を理解している必要すらありません。リストに載っているから、ただ機械的に試しているだけです。 ここから読み取れる教訓はシンプルです。ボットは賢く考えているのではなく、膨大なリストを機械的に総当たりしているだけ。だからこそ、リストに載りようのない認証方式(公開鍵認証)に切り替えるだけで、この種の攻撃はまるごと空振りに終わります。 MITRE ATT&CK マッピング Technique ID Technique Name T1110.001 Brute Force: Password Guessing 固定のクレデンシャルリストを使い回している点では、パスワードスプレー(T1110.003)やクレデンシャルスタッフィング(T1110.004)の性格も帯びています。なお、ログイン成功後のシェルコマンド実行(T1059.004)やシステム情報探索(T1082)は今回の観測範囲では確認していないため、表には含めていません。 ...

March 19, 2026 · 1 分 · 乳酸菌