攻撃者だと思ったら Palo Alto だった — ハニーポットが商用スキャナーを捕まえた話 + ネタ切れ
概要 国内NTT網VPSに設置したT-Potハニーポットの観測記録です。 今回の主役は Wordpot(WordPressハニーポット)。Kibanaでログを眺めていたら、36,000件を超えるRDP試行の中に1件だけ、妙なアクセスが混じっていました。 送り主の正体は Palo Alto Networks の商用スキャナー でした。 1. 問題のログ honeypots全体のログを見ていたとき、protocol=wordpotのエントリが1件だけあることに気づきました。 { "src_ip": "205.210.31.87", "url": "/wp-login.php", "method": "POST", "user_agent": "Hello from Palo Alto Networks. We are mapping the internet for research and security purposes. For more information, visit https://www.paloaltonetworks.com/cortex/cortex-xpanse", "plugin": "badlogin/enumeration", "honeypot_type": "honeypots", "protocol": "wordpot" } "Hello from Palo Alto Networks." というUser-Agent。そのまんますぎて笑いました。 2. Cortex Xpanse とは Cortex Xpanse は Palo Alto Networks が提供する商用の Attack Surface Management (ASM) プラットフォームです。 ASM(アタックサーフェス管理)とは、自社のインターネット公開資産を外部から継続的にスキャンして、「攻撃者から見た自社の姿」を把握するためのセキュリティ製品です。 [企業のセキュリティ担当] ↓ "うちの公開アセットを全部洗い出したい" [Cortex Xpanse] ↓ インターネット全体を継続スキャン [対象企業のサーバ・VPS・クラウド資産を発見] ↓ レポート生成 [担当者] "あ、知らないサーバが公開されてる!" スキャンの仕様上、インターネット上のすべてのIPアドレスが対象になります。私のVPSも「誰かの企業資産かもしれない対象」として定期的にスキャンされている、ということです。 ...