本記事について
本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。
観測の発端
Honeypot VPS は WebARENA Indigo を使っています。理由はシンプルに二点。
- 安い。
- 備え付けFWがよさげ。
それ以上でも以下でもないのですが、ある日、興味をそそられる試行を見かけました。
SSH ハニーポット(Cowrie)に対する試行で username: arena
明らかにサーバインフラの背景を考慮して試行しているので、面白いなぁと思い記事化します。
あと、いつもは
分析:私 + claude code
執筆:Claude code
レビュー/修正:Claude code
でやってますが、たまには生身の人間がメインで書いてみます。タイポしまくるのでレビューはしてもらうけど。
観測サマリ
| 項目 | 値 |
|---|---|
| 観測期間 | 2026-05-06 〜 2026-06-04(23日間) |
| 観測ハニーポット | Cowrie (T-Pot VPS) |
| 対象イベント | cowrie.login.failed |
| 主要観測対象 | username.keyword: "arena" への試行 |
| 全期間 arena 試行数 | 697 件 |
| ISP数 | 10 |
| ユニーク source_ip | 117 IPs |
全体の傾向
1か月ぐらいの目線で見ると、ピーク→徐々に縮小の傾向が見られました。
当方は「SSHブルートフォースはだいたい単純に辞書を参照してひたすら回す。」みたいな認識でして、流行り廃りがあるとは思っていませんでした。
2026-05-06以前はカウント無かったため、この辺りで辞書に載った or ASN辺りからインフラ把握して辞書に組み込むナニカ が公開されたんだろうなと妄想しています。
ASN/ISPを見てみる
まずASNのorganizationを見てみました。(ASNはGeo IPから引っ張ってきてます。)
arena 試行のユニーク source_ip は全部で 117 個でした。ASN 組織別に見ると、Feo Prest SRL(12 IP)と Korea Telecom(11 IP)が多く、この2組織で全体の約2割を占めます。
Korea Telecomは速攻で分かりましたが、Feo Prest SRLはルーマニアだそうで。
Feo Prest SRL
Copilotさん曰く、下記。
Feo Prest SRLは台湾所在の会社と報告され、IPアドレスがスパム活動と関連する記録があります。企業の業務内容や正当性については公的情報が不足しているため、利用や取引には十分な注意が必要です。
台湾。。。。?
ASN : AS208137
組織 : Feo Prest SRL (Romania)
Subnet : 213.209.159.0/24
観測 IP 数 : 12 個(同一 /24 から)
ちなみに ASN そのものの割当が 2025-08-05 と、わりと最近です。構成も Stub AS(upstream は AS49581 / Tube-Hosting の1本のみ)、総 IPv4 は 768 という小ぶりなネットワークでした。「2026-05-06 以前はカウント無し」だったのと、なんとなく時期が近い気がしています。
この 213.209.159.0/24 から観測された 12 個の IP の試行を日別で見ると、5月上旬に集中していて、5月15日を最後にパッタリ止んでいました。
AbuseDBだとこちら。
https://www.abuseipdb.com/check/AS208137
Korea Telecom
次はKorea Telecom。
国営(当時は韓国電気通信公社)→民営(現社名 KT)となったらしいです。
日本でいうNTTみたいなもんですね。日本法人もあるみたい。
https://ja.wikipedia.org/wiki/KT_(%E9%80%9A%E4%BF%A1%E4%BC%81%E6%A5%AD)
ASN : AS4766
組織 : Korea Telecom(South Korea)
Subnet : 多数
観測 IP 数 : 11 個
Korea Telecom 側の試行も日別で見てみます。5月中旬をピークに散発的に続いていましたが、5月21日を最後に止まっています。
AbuseDBだとこちら。
https://www.abuseipdb.com/check/AS4766
パスワードを見てみる
一番気になるところのパスワードについて見てみます。
ELK で username.keyword: "arena" の試行を集計すると、こんな結果でした。
| 項目 | 値 |
|---|---|
| arena 試行数 | 697 件 |
| ユニークなパスワード | 477 種 |
arena を含むパスワード | 692 件(99.3%) |
arena を含まないパスワード | 5 件(0.7%) |
| 20文字超のパスワード | 0 件 |
上位のパスワードはこんなラインナップ。
よくあるP@ssw0rdなど単体でなく、arenaの文字を含んでいるパターンが大多数ですね。
辞書としては(ホスティングサービス) + (よくあるパターン)で試行していることがわかります。こう見ると文字列の長さというより、公開情報から推測できないパスワード規則を採用する事が大事なんだなぁと感じます。
さすがに20文字とかは確認できませんでした。あと、意外とP@ssw0rdみたいな汎用なものは全体で数件程度でした。目標に対して動的に変更していますね。微妙にチョイスがAIっぽい。
※汎用なSSHブルートフォースはAレコードが紐づいてない状態でも日/1000件ぐらいはあります。 なんも考えずに、なんも対策せずに、Password authentication:yesすると秒殺されるので誤解はしないように。
で、結局何すればいいの?
1. ASN単位ブロックの是非
まず、全世界に公開する必要があるのか?ぐらいから考えるのがいい気がします。
当ブログがそうですが、翻訳記事めんどくさいので 日本語対応しかしてないのであれば、国外IPからのアクセス全ブロックで良いと思っています。
もちろんISPを変えられる、VPN経由にされると対応できないのはそうですが、有象無象による攻撃試行に対して、多少なりとも効果はあるんじゃないかなというのが個人的感想です。
サービスの目的にだいぶ寄りますがね。
2. fail2ban
有名どころ。平たく言うとブルートフォース対策ですね。
https://qiita.com/Brutus/items/28f4dc2054ad7de54e73
3. FW制御
なんだかんだ言って低レイヤで弾くのは強いです。
多層防御を過信すると良くないですが、IP+Port 制限はなんだかんだ大事です。
低レイヤ + 高レイヤ + 認証(知識 and 所有)が理想だと思っています。
おわりに
実は攻撃試行しているASNの中に「知人の知人」が運営関与している組織があり、続くようなら頑張って連絡取ろうかなと思っていました。(話したことない)
念のため書いておくと、当該ASNはあくまで踏み台として利用されているだけであり、首謀では断じて無い。ただ、終息したこともあり一時静観として扱う予定です。
(リスクと役職が明らかに見合ってないため、↑の判断としています。背景が多々あるため詳細は語りません。)
試行回数も特段多いわけでなく、かなり小規模だったため、報告するのがめんどくさかったってのはナイショです。お会いすることがあれば伝えるかな。。。
それにしても久しぶりに長文書くと疲れた。
参考文献
- T-Pot: Deutsche Telekom Security GmbH / tpotce on GitHub / GPL v3.0
- Cowrie: cowrie/cowrie on GitHub
- AbuseIPDB(Feo Prest SRL 報告履歴は検索可能)
出典: T-Pot CUSTOM EDITION + ローカル ELK Stack (Docker)