【観測記録 #001】国内NTT網ハニーポット 設置初週の観測 — Cowrie/Suricataログから見える攻撃トラフィック
本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC(IPアドレス・ドメイン)はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 概要 国内NTT網のVPSに設置したT-Potハニーポットの観測記録です。 ローカル環境のELK Stackでログを可視化・分析しています。 項目 内容 観測期間 2026年3月11日〜17日(7日間) 設置場所 国内VPS(NTT網) 分析基盤 ELK Stack(Elasticsearch + Logstash + Kibana) SSH ブルートフォース(Cowrie) 全イベントの約64%をCowrie(SSHハニーポット)が占めました。 よく試行されたユーザー名 TOP3 1. root 2. 345gs5662d34 ← SSHボットが世界中で使い回す定番文字列 3. admin よく試行されたパスワード TOP5 1. 123456 2. 345gs5662d34 3. 3245gs5662d34 4. 1234 5. 123 345gs5662d34 / 3245gs5662d34 は、SSHブルートフォースボットが世界中で使い回している定番の認証情報です。Miraiの有名な61組リストには含まれていませんが、SANS ISC などのハニーポットでも頻出する文字列で、Polycom CX600 IP電話のデフォルト認証情報という説が有力です(確信度:中)。これを使った自動スキャンが大量に観測されました。 考察:345gs5662d34 という奇妙な文字列の正体 123456 や admin が試されるのは直感的にわかります。誰でも思いつく弱いパスワードだからです。でも 345gs5662d34 は違います。人間が思いつく文字列ではありません。これが2位・3位に食い込んでいるのは、それだけ多くのボットが同じcredentialリストをコピーして使い回していることの裏返しです。 出荷時のデフォルト認証情報が特定機器に埋め込まれ、それがボット間で共有され続けている、という構図です。攻撃者はこの値が「どの機器のものか」を理解している必要すらありません。リストに載っているから、ただ機械的に試しているだけです。 ここから読み取れる教訓はシンプルです。ボットは賢く考えているのではなく、膨大なリストを機械的に総当たりしているだけ。だからこそ、リストに載りようのない認証方式(公開鍵認証)に切り替えるだけで、この種の攻撃はまるごと空振りに終わります。 MITRE ATT&CK マッピング Technique ID Technique Name T1110.001 Brute Force: Password Guessing 固定のクレデンシャルリストを使い回している点では、パスワードスプレー(T1110.003)やクレデンシャルスタッフィング(T1110.004)の性格も帯びています。なお、ログイン成功後のシェルコマンド実行(T1059.004)やシステム情報探索(T1082)は今回の観測範囲では確認していないため、表には含めていません。 ...