概要
国内NTT網のVPSに設置したT-Potハニーポットの観測記録です。 ローカル環境のELK Stackでログを可視化・分析しています。
| 項目 | 内容 |
|---|---|
| 観測期間 | 2026年3月11日〜17日(7日間) |
| 設置場所 | 国内VPS(NTT網) |
| 分析基盤 | ELK Stack(Elasticsearch + Logstash + Kibana) |
攻撃元の国別分布
| 順位 | 国 | イベント数 |
|---|---|---|
| 1 | ブラジル | 203,046 |
| 2 | 日本 | 93,602 |
| 3 | 中国 | 46,004 |
| 4 | アメリカ | 34,327 |
| 5 | インドネシア | 20,687 |
ブラジルが圧倒的1位。日本(国内)からの攻撃も多く、国内感染端末やレンタルサーバーが踏み台として悪用されている可能性があります。
SSH ブルートフォース(Cowrie)
全イベントの約64%をCowrie(SSHハニーポット)が占めました。
よく試行されたユーザー名 TOP3
1. root
2. 345gs5662d34 ← 特定IoTデバイスのデフォルト認証情報
3. admin
よく試行されたパスワード TOP5
1. 123456
2. 345gs5662d34
3. 3245gs5662d34
4. 1234
5. 123
345gs5662d34 / 3245gs5662d34 はMirai系ボットネットのcredentialリストに含まれるIoTデバイスのデフォルト認証情報です。これを使った自動スキャンが大量に観測されました。
MITRE ATT&CK マッピング
| Technique ID | Technique Name |
|---|---|
| T1110.001 | Brute Force: Password Guessing |
| T1059.004 | Command and Scripting Interpreter: Unix Shell |
| T1082 | System Information Discovery |
Suricata アラート傾向
最多カテゴリは Attempted Administrator Privilege Gain(45,805件)。
また、国内NTT PC CommunicationsのホスティングIPからIPv6マルチキャストパケットによる CVE-2020-11899(Ripple20) スキャンが61,000件以上観測されました。Treck TCP/IPスタック搭載のIoT機器を狙った継続的な探索活動と見られます。
参考・使用ツール
- T-Pot by Deutsche Telekom Security GmbH — GitHub (GPL v3.0)
- This product includes GeoLite2 data created by MaxMind, available from https://www.maxmind.com