【観測記録 #005】Feo Prest /24— ASN特化型 SSH ブルートフォースの観測
本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 観測の発端 Honeypot VPS は WebARENA Indigo を使っています。理由はシンプルに二点。 安い。 備え付けFWがよさげ。 それ以上でも以下でもないのですが、ある日、興味をそそられる試行を見かけました。 SSH ハニーポット(Cowrie)に対する試行で username: arena 明らかにサーバインフラの背景を考慮して試行しているので、面白いなぁと思い記事化します。 あと、いつもは 分析:私 + claude code 執筆:Claude code レビュー/修正:Claude code でやってますが、たまには生身の人間がメインで書いてみます。タイポしまくるのでレビューはしてもらうけど。 観測サマリ 項目 値 観測期間 2026-05-06 〜 2026-06-04(23日間) 観測ハニーポット Cowrie (T-Pot VPS) 対象イベント cowrie.login.failed 主要観測対象 username.keyword: "arena" への試行 全期間 arena 試行数 697 件 ISP数 10 ユニーク source_ip 117 IPs 全体の傾向 1か月ぐらいの目線で見ると、ピーク→徐々に縮小の傾向が見られました。 当方は「SSHブルートフォースはだいたい単純に辞書を参照してひたすら回す。」みたいな認識でして、流行り廃りがあるとは思っていませんでした。 2026-05-06以前はカウント無かったため、この辺りで辞書に載った or ASN辺りからインフラ把握して辞書に組み込むナニカ が公開されたんだろうなと妄想しています。 ASN/ISPを見てみる まずASNのorganizationを見てみました。(ASNはGeo IPから引っ張ってきてます。) ...