ばぁど・うぉっちんぐ

セキュリティを頑張りたいプログラマ。自由と春を求めて羽ばたく渡り鳥。

ばぁどのハニーポット観察日誌 - 2018/10/14 ~ 10/020 -

ハニーポット観察日誌です。

観察期間:2018年 10月14日 - 10月20日

CVE 検知した回数
CVE-2014-3120 8
CVE-2017-7269 6
CVE-2017-5638 6
CVE-2003-0818 5
CVE-2008-4250 2
CVE-2014-0160 2

全て以前の記事で紹介済みです。

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

今までの総計

今回は、全て既存のCVEだったので特に調査はしませんでした。

なので、今まで検知したCVEの総計を掲載しておきます。

CVE 検知した回数
CVE-2017-5638 93
CVE-2017-0143 59
CVE-2017-7269 43
CVE-1999-0183 37
CVE-2014-3120 23
CVE-2016-6563 13
CVE-2003-0818 8
CVE-2014-0160 6
CVE-2005-4050 4
CVE-2003-0825 4
CVE-2008-4250 4
CVE-2014-3566 3
CVE-2012-1823 2
CVE-2017-9805 1

CVE-2017-5638は数週間前の大量検知以来、ずっと一位をキープですね。

まとめ

今回は新しい脆弱性を検知することはできませんでした。

来週に期待。

来週は海外行く予定があるので、ハニーポット観察日誌は少し早めに投稿するかもしれません。 あと違う観点でも計測できないか試行錯誤中です。

もし、T-Potで観測している方いらしたら、ぜひ情報交換したいです。

ばぁどのハニーポット観察日誌 - 2018/10/07 ~ 10/013 -

ハニーポット観察日誌です。

観察期間:2018年 10月07日 - 10月13日

CVE 検知した回数
CVE-2017-0143 13
CVE-2014-3120 11
CVE-2017-7269 11
CVE-2008-4250 2
CVE-2012-1823 2
CVE-2014-0160 2
CVE-2003-0818 1

下記は以前の記事で紹介済みです。

CVE-2017-0143

CVE-2014-3120

CVE-2017-7269

CVE-2014-0160

CVE-2003-0818

以前紹介したCVE記事まとめはこちら

ultrabirdtech.hatenablog.com

CVE-2008-4250

CVSS Score

10.0

概要

Windows サーバーに対する脆弱性

リクエストの処理に不備があるため、任意のスクリプトを実行される可能性があるとのこと。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 全体的(Complete) ファイル全てが閲覧できる可能性があり。
完全性への影響( I ) 全体的(Complete) システムファイルを含む全てのファイルが書き換えられる危険性があり。
可用性への影響(A) 全体的(Complete) シャットダウンが行われる可能性あり。

www.cvedetails.com

JVN

JVNDB-2008-001894 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

脆弱性 (MS08-067:CVE-2008-4250)を悪用したハッキングツールを確認 | トレンドマイクロ セキュリティブログ

脆弱性を検知して攻撃スクリプトをDLさせるようなワームも検知されている。 この脆弱性放置していたら、攻撃されるのも時間の問題ですねー。

CVE-2012-1823

CVSS Score

7.5

概要

PHPに関する脆弱性CGIPHPで任意のスクリプトを埋め込むことができてしまうとのこと。

外部からスクリプトを実行できてしまうため、CIAの全てにおいて影響あり。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC) 中(Medium) 特別な権限を持ったアカウントが必要
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partical) 一部ファイルが情報開示されてしまう
完全性への影響( I ) 部分的(Partical) いくつかのファイルが改ざんされてしまう。制御ファイルは権限の関係で保護されるものもある。
可用性への影響(A) 部分的(Partical) 部分的に機能しなくなる可能性があり。

www.cvedetails.com

JVN

JVNDB-2012-002235 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

blog.tokumaru.org

まとめ

観測し始めて、一ヶ月が経過。 それでも新しいCVEを観測することができております。

もう少しじっくり一つ一つの攻撃に対して再現などしてみたいものです。

Shin・Do・meeee 技術書典5 参加してきました!!

10月8日(月・祝)に開催された技術書典5 にサークルとして参加してきました。

techbookfest.org

謝辞

購入していただいた皆様へ

私たちの技術書を購入していただいた方々ありがとうございました。

私たちが色々と知恵を出し合って、工夫して出した最初の技術本になります。

拙い部分もいくつかあると思いますが、新たな気づきなどを得てもらえれば幸いです。

技術書典5スタッフの皆様へ

技術書典5のスタッフ様、素敵なイベントを開催していただきありがとうございました。

今回初参加のサークルでしたが、特に不自由なくイベントに参加することができました。

今後ともよろしくお願いいたします。

アンケート結果

技術書典開催中に、私たちのサークルに立ち寄っていただいた方々を対象にアンケートをとりました。

技術書本の中のテーマである4テーマのうち、どれに興味を持って購入していただいか、手に取っていただいたかの調査結果です。

テーマ 執筆者 得票数
攻撃のしんどみを肌で感じる - ハニーポット入門 @k-anz 35票
WebAssemblyを使ってみる @wisteria3221 20票
Rasbery Piを用いたChat bot 作成 @igara 10票
プログラマとして生きた私のハッカーへの道 @UltraBirdTech 10票

f:id:UltraBirdTech:20181009132536j:plain

特筆すべきはハニーポット人気ですね。

私も一ヶ月前にハニーポットを立てて、運用を始めたのですがブームの波が来ているのですかね。

実際にアンケートでハニーポットに興味があると回答してくれた方数名とお話をしたのですが、興味はあるけどまだ植えられていない、などの声を聞くことができました。

次回はサークル内の二人のハニーポッターによるハニーポット本でも企画しましょうかねぇ。

ITの流行は早いといいますが、半年後までブームが残っていることを祈るばかりです。

学んだこと

テーマが複数あっても問題ない

色々なテーマを入れたとしても一つのテーマに興味を持っていてくれれば買っていただけるんだなと思いました。

本としてのテーマが少しふわっとしちゃうので、売れるか少し不安でした・・・

もちろん、何か一つに特化したテーマで一冊用意できればよかったのですが、今回はサークルとして初参加であったため様子見ということもあったので・・・

技術者との交流ができる

サークル出展側として初めてだったのですが、同じ興味を持っている技術者との交流ができました。 今回、私はハニーポットの記事は書いていないのですが、上述のアンケートの通りハニーポットに興味を持っている方々はとても多いです。

また、前職の会社の先輩、後輩、社会人になってから繋がったエンジニアにも来ていただけました。 みなさま、立ち寄っていただきありがとうございました。

行動することが大事

前回、技術書典4では一般参加者として参加しました。

その時にたくさんのサークルさんのお話を聞いて、私も出してみたいなと思い元会社の同期に声をかけたところ、今回サークルを作って技術書を出すことができました。

半年前の私は、サークル出展するために必要なものが何かわからなかったのですが、同期に支えられ、一緒に技術書を世の中に出すことができたと考えております。

「サークル出展して技術本を販売するなんてすごい難しい!!」と考えていたのですが、実際に行動してみたら半年後には目標って叶えることができるんですね!

素晴らしい。

本当、僕のわがままに付き合ってくれた同期には頭が上がりません。ありがとうございます。

今後の活動

今後も有志で活動していこうと思っています。

サークル活動を行う上で、大事なのはPDCA

今回は次回改善するための計画を行うための行動でした。 今回の実行した結果をチェックして、改善につなげて、次回のイベントにたいして計画を行なっていきます。

今後ともサークルShin・Do・meeeeをよろしくお願いいたします。

ばぁどのハニーポット観察日誌 - まとめ -

書いたハニーポットの観察日誌並べていきます。

※随時更新

※多分毎週土曜日

CVE調査

現在主に扱っているCVE調査記事系。 New!!(2018/10/20) ultrabirdtech.hatenablog.com

ultrabirdtech.hatenablog.com

ultrabirdtech.hatenablog.com

ultrabirdtech.hatenablog.com

ultrabirdtech.hatenablog.com

ultrabirdtech.hatenablog.com

Cowrie系(マルウェア調査)

T-Potに含まれているハニーポットの一つCowrieを用いたマルウェア調査の記事。

ultrabirdtech.hatenablog.com

その他

ハニーポットを立ち上げたりした時に書いた記事。

ultrabirdtech.hatenablog.com

ultrabirdtech.hatenablog.com

ultrabirdtech.hatenablog.com

ばぁどのハニーポット観察日誌 - 2018/09/30 ~ 10/06 -

ハニーポット観察日誌です。

観察期間:2018年 09月30日 - 10月06日

CVE 検知した回数
CVE-2017-7269 11
CVE-2017-0143 9
CVE-2017-5638 9
CVE-2014-0160 4
CVE-2003-0825 2
CVE-2016-6563 2
CVE-1999-0183 1

下記は以前の記事で紹介済みです。

CVE-2017-7269

CVE-2017-0143

CVE-2003-0825

CVE-2016-6563

以前紹介したCSV記事まとめはこちら

ultrabirdtech.hatenablog.com

CVE-2014-0160

CVSS Score

5.0

概要

OpenSSLに情報漏洩の脆弱性があるとのこと。 IPAのサイトが図解もあって一番わかりやすかったです。

「Heartbleed」という名前がついています。 下記のような専用のサイトも立ち上げられて注意喚起が行われていますね。

Heartbleed Bug

サーバー側は今回のCVE-2014-0160の攻撃を受けても攻撃ログを残さ図に情報を読み出すことができるとのこと。 バグ修正パッチを当てたら脆弱性も一緒に紛れ込んじゃったらしい。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC) 低(Low) アクセス条件や特別な権限は必要なし
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partial) 部分的に外部へファイル情報が漏れてしまう。
完全性への影響( I ) なし(None) -
可用性への影響(A) なし(None) -

www.cvedetails.com

JVN

JVNDB-2014-001920 - JVN iPedia - 脆弱性対策情報データベース

セキュリティニュース

www.ipa.go.jp

CVE-1999-0183

CVSS Score

6.4

概要

Linuxに対する脆弱性。 リモートから、制限されたディレクトリがいのファイルの閲覧ができる。

評価値

評価基準名 評価値 備考
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC) 中(Medium) 特別な権限を持ったアカウントが必要
攻撃前の承認要否(Au) 必要なし(Not Required) -
機密性への影響(C) 部分的(Partical) 一部ファイルが情報開示されてしまう
完全性への影響( I ) 部分的(Partical) いくつかのファイルが改ざんされてしまう。制御ファイルは権限の関係で保護されるものもある。
可用性への影響(A) なし(Non) -

www.cvedetails.com

セキュリティニュース

https://nvd.nist.gov/vuln/detail/CVE-1999-0183

まとめ

今回は、スコアとしては5や6などが新しく検知できました。

今まで、10とかクリティカルな奴ばかりだったので、スコア低くて少し抜けてしまいますが、まぁ危険ではない脆弱性はないので気を抜かずに対応しましょう。

ばぁどのハニーポット観察日誌 - Cowrie で取得したファイルを調べてみるの巻 -

ハニーポッター見習いのばぁどです。

現在、T-Potを構築して日々攻撃を観測しています。

今回はハニーポットの一つであるCowrie でダウンロードされたファイルについて調べようと思います。

Cowrie

ハニーポットの一つです。

github.com

以前の記事で軽く紹介もしました。

ultrabirdtech.hatenablog.com

Cowrie は配置された攻撃ファイルの収集機能もあります。 今回は、その収集したファイルについて、今できる限りの知識で調べて行こうと思います。

どこに保存されているか

ファイルパス

T-Potで構築されたCowrieは下記ファイルパスに検知したマルウェアを隔離しています。

/data/cowrie

ls の結果

ls -la
total 8140
drwxrw----  6 tpot tpot    4096 Oct  3 03:29 .
drwxrw---- 18 tpot tpot    4096 Sep 22 19:41 ..
drwxrw----  2 tpot tpot    4096 Oct  3 09:31 downloads
-rwxrw----  1 tpot tpot       0 Oct  3 03:29 downloads.tgz
-rwxrw----  1 tpot tpot  287196 Oct  3 03:28 downloads.tgz.1.gz
-rwxrw----  1 tpot tpot  570999 Oct  2 03:28 downloads.tgz.2.gz
-rwxrw----  1 tpot tpot  286921 Oct  1 03:27 downloads.tgz.3.gz
-rwxrw----  1 tpot tpot  569966 Sep 30 03:28 downloads.tgz.4.gz
-rwxrw----  1 tpot tpot  285260 Sep 29 03:28 downloads.tgz.5.gz
-rwxrw----  1 tpot tpot  285039 Sep 28 03:28 downloads.tgz.6.gz
-rwxrw----  1 tpot tpot 5428921 Sep 27 03:28 downloads.tgz.7.gz
-rwxrw----  1 tpot tpot  285271 Sep 26 03:28 downloads.tgz.8.gz
-rwxrw----  1 tpot tpot  287467 Sep 25 03:28 downloads.tgz.9.gz
drwxrw----  2 tpot tpot    4096 Sep 22 19:41 keys
drwxrw----  3 tpot tpot    4096 Oct  3 09:06 log
drwxrw----  2 tpot tpot    4096 Sep 22 19:40 misc

一日置きに圧縮もしてくれています。 ログの保存期間はymlで設定可能であり、現在15日?くらいで設定したるはず!!

2018年10月03日に検出されたマルウェア

$ cd downloads

$ ls -la
total 624
drwxrw---- 2 tpot tpot    4096 Oct  3 09:31 .
drwxrw---- 6 tpot tpot    4096 Oct  3 03:29 ..
-rw-r--r-- 1 tpot 65533      1 Oct  3 09:28 6e340b9cffb37a989ca544e6bb780a2c78901d3fb33738768511a30617afa01d
-rw------- 1 tpot 65533 625867 Oct  3 06:11 tmpxP3FoH

朝の9:00の時点で二つのマルウェアを検知しています。 今回は、容量も多いtmpxP3FoHを調査!

マルウェア調査

置かれたマルウェアの調査です。

fileコマンド

fileコマンドでファイルの種類を調べます。 fileコマンドを利用することで、ファイルがバイナリかテキスト形式なのかを調査できる。

例) htmlファイルにfileコマンドしてみたときの結果

$ file index.html 
index.html: HTML document text, UTF-8 Unicode text

file コマンドの結果

file tmpxP3FoH 
tmpxP3FoH: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically linked, for GNU/Linux 2.6.9, not stripped

ELFファイルですね。 ELFは「Executable and Linking Format」の略。 バイナリファイルです。

readelf コマンドの結果

次に、readelfコマンド。 readelf コマンドを使うことで、ELF形式のバイナリのヘッダ情報を知ることができます。

$ readelf -h tmpxP3FoH 
ELF Header:
  Magic:   7f 45 4c 46 01 01 01 00 00 00 00 00 00 00 00 00 
  Class:                             ELF32
  Data:                              2's complement, little endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           Intel 80386
  Version:                           0x1
  Entry point address:               0x8048110
  Start of program headers:          52 (bytes into file)
  Start of section headers:          553480 (bytes into file)
  Flags:                             0x0
  Size of this header:               52 (bytes)
  Size of program headers:           32 (bytes)
  Number of program headers:         5
  Size of section headers:           40 (bytes)
  Number of section headers:         28
  Section header string table index: 25

strings コマンドの結果

最後にstringsコマンドでファイルの中身を探ってみます。

viなどで開くとバイナリなので読めません。

↓一部抜粋

^?ELF^A^A^A^@^@^@^@^@^@^@^@^@^B^@^C^@^A^@^@^@^P<81>^D^H4^@^@^@^Hr^H^@^@^@^@^@4^@ ^@^E^@(^@^\^@^Y^@^A^@^@^@^@^@^@^@^@<80>^D^H^@<80>^D^H^Ka^H^@^Ka^H^@^E^@^@^@^@^P^@^@^A^@^@^@^La^H^@^Lñ^L^H^Lñ^L^H´^K^@^@àr^@^@^F^@^@^@^@^P^@^@^D^@^@^@Ô^@^@^@Ô<80>^D^HÔ<80>^D^H ^@^@^@ ^@^@^@^D^@^@^@^D^@^@^@^G^@^@^@^La^H^@^Lñ^L^H^Lñ^L^H^T^@^@^@@^@^@^@^D^@^@^@^D^@^@^@Qåtd^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^F^@^@^@^D^@^@^@^D^@^@^@^P^@^@^@^A^@^@^@GNU^@^@^@^@^@^B^@^@^@^F^@^@^@      ^@^@^@U<89>å<83>ì^Hè5^@^@^@èÌ^@^@^@è·<97>^F^@ÉÃ^@^@^@^@^@1í^<89>á<83>äðPTRh Q^E^Hh`Q^E^HQVhìÌ^D^Hè^?È^@^@ô<90><90>U<89>åS<83>ì^Dè^@^@^@^@[<81>Ã,p^H^@<8b><93>üÿÿÿ<85>Òt^Eèª~û÷X[ÉÃ<90><90><90><90><90><90>U<89>åS<83>ì^D<80>=Äü^L^H^@uT¸0ñ^L^H-(ñ^L^HÁø^B<8d>Xÿ¡Àü^L^H9Ãv^_<8d>´&^@^@^@^@<83>À^A£Àü^L^Hÿ^T<85>(ñ^L^H¡Àü^L^H9Ãwè¸<80>^G^K^H<85>Àt^LÇ^D$ü~^L^HèÃ<85>^F^@Æ^EÄü^L^H^A<83>Ä^D[]Ã<8d>¶^@^@^@^@U¸à     ^K^H<89>å<83>ì^Xè^@^@^@^@Z<81>Â<8c>o^H^@<85>Àt <89>T$^LÇD$^H^@^@^@^@ÇD$^DÈü^L^HÇ^D$ü~^L^HèÕ<87>^F^@¡4ñ^L^H<85>Àt^R¸^@^@^@^@<85>Àt       Ç^D$4ñ^L^HÿÐÉÃU<89>å<83>ì^X<8b>E^P<89>D$^H<8b>E^L<89>D$^D<8b>E^H<89>^D$è¹æ^A^@<8b>E^P<89>D$^D<8b>E^H<89>^D$è<9b>^Q^@^@¸^@^@^@^@ÉÃU<89>å<83>ì(<8b>E^L<83>è^A<89>D$^H<8b>E^H<89>D$^DÇ^D$<91>+^K^Hè]^K^B^@<89>Eü<83>}ü^@x^K<8b>E^L<83>è^A;Eü^?     ÇEì^@^@^@^@ë?<8b>Eü^CE^HÆ^@^@<8b>Eü<89>Eøë"<8b>Eø^CE^H^O¶^@</u^Q<8b>U^H<83>Â^A<8b>Eø<8d>^D^BÆ^@^@ë
<83>mø^A<83>}ø^@yØ<8b>E^H<89>Eì<8b>EìÉÃU<89>å<83>ì(<8b>E^L<83>è^A<89>D$^H<8b>E^H<89>D$^DÇ^D$<91>+^K^HèÙ
^B^@<89>Eü<83>}ü^@x^K<8b>E^L<83>è^A;Eü^?        ÇEì^@^@^@^@ë^O<8b>Eü^CE^HÆ^@^@<8b>E^H<89>Eì<8b>EìÉÃU<89>å<81>ì(^D^@^@<8d><95>üûÿÿ¸^@^D^@^@<89>D$^HÇD$^D^@^@^@^@<89>^T$èPæ^A^@<8b>E^H<89>D$^LÇD$^H +^K^HÇD$^D^@^D^@^@<8d><85>üûÿÿ<89>^D$èëù^@^@<8b>E^P<83>è^A<89>D$^H<8b>E^L<89>D$^D<8d><85>üûÿÿ<89>^D$è<
^B^@<89>Eü<83>}ü^@x^K<8b>E^P<83>è^A;Eü^?^LÇ<85>ìûÿÿ^@^@^@^@ë^R<8b>Eü^CE^LÆ^@^@<8b>E^L<89><85>ìûÿÿ<8b><85>ìûÿÿÉÃU<89>åW<81>ì<84>^P^@^@<8d><95>ôïÿÿ¸^@^P^@^@<89>D$^HÇD$^D^@^@^@^@<89>^T$è©å^A^@<8b>E^H<89>D$^D<8d><85>ôïÿÿ<89>^D$è^TÞ^A^@<8d><85>ôïÿÿ¹ÿÿÿÿ<89><85><94>ïÿÿ¸^@^@^@^@ü<8b>½<94>ïÿÿò®<89>È÷Ð<83>è^A<89>Eø<8b>Eø<83>è^A^O¶<84>^Eôïÿÿ</t4<8d><95>ôïÿÿ<8d><85>ôïÿÿ¹ÿÿÿÿ<89><85><90>ïÿÿ¸^@^@^@^@ü<8b>½<90>ïÿÿò®<89>È÷Ð<83>è^A<8d>^D^BfÇ^@/^@<8d><85>ôïÿÿ¹ÿÿÿÿ<89><85><8c>ïÿÿ¸^@^@^@^@ü<8b>½<8c>ïÿÿò®<89>È÷Ð<83>è^A<89>EøÇEô^A^@^@^@ëw<8b>Eô^O¶<84>^Eôïÿÿ</ud<8b>EôÆ<84>^Eôïÿÿ^@^O¶<85>ôïÿÿ<84>ÀtC<8d><85><9c>ïÿÿ<89>D$^D<8d><85>ôïÿÿ<89>^D$è&^G^B^@<85>Àt'ÇD$^Dí^A^@^@<8d><85>ôïÿÿ<89>^D$èL^H^B^@<83>øÿu^LÇ<85><98>ïÿÿÿÿÿÿë!<8b>EôÆ<84>^Eôïÿÿ/<83>Eô^A<8b>Eô;Eø|<81>Ç<85><98>ïÿÿ^@^@^@^@<8b><85><98>ïÿÿ<81>Ä<84>^P^@^@_]ÃU<89>å<81>ì(^P^@^@ÇD$^D^@^@^@^@<8b>E^H<89>^D$è^O¸^@^@<89>EðÇEô^@^@^@^@<8d><95>ðïÿÿ¸^@^P^@^@<89>D$^HÇD$^D^@^@^@^@<89>^T$è^Vä^A^@ÇEø^@^@^@^@ÇEü^@^@^@^@<83>}ð^@^O<8e><9b>^@^@^@ÇD$^H^@^@^@^@ÇD$^D^@^@^@^@<8b>Eð<89>^D$è<83>·^@^@ëE<8b>Eø^CEü<89>D$^D<8b>Eô<89>^D$èÜÎ^A^@<89>Eô<83>}ô^@tM<8b>Uø<8b>Eü<89>Á^CMô<89>T$^H<8d><85>ðïÿÿ<89>D$^D<89>^L$èòâ^A^@<8b>Eø^AEüÇD$^H^@^P^@^@<8d><85>ðïÿÿ<89>D$^D<8b>Eð<89>^D$è?´^@^@<89>Eø<83>}ø^@^?<95><8b>Eð<89>^D$è<8b>´^@^@<8b>U^L<8b>Eü<89>^B<8b>EôÉÃU<89>å<83>ì(ÇD$^Hÿ^A^@^@ÇD$^DA^@^@^@<8b>E^H<89>^D$è^M·^@^@<89>EðÇEô^@^@^@^@ÇEø^@^@^@^@ÇEü^@^@^@^@<83>}ð^@^O<8e>

===========略===========

そこで、stringsコマンドなどでバイナリファイルの中で記述されている文字列を抽出してみます。

ファイルの全容はわかりませんが、何が記述されているかはなんとなく分かる。

今回は、nオプションで15文字以上の長さの文字列のみ出力しています。 またあまりにも多く抽出できるのでhead部分のみ抽出。

 strings -n 15 tmpxP3FoH | head
0<_t5<-t1<.t-<,f
QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQj
*<_t/<-t+<.t'<,
+<_t0<-t,<.t(<,t$<:t </
QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQj
HISTFILE=/dev/null
MYSQL_HISTFILE=/dev/null
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin:/usr/X11R6/bin
# chkconfig: 12345 90 90
# description: %s

悪そうな文字列が並んでますね(小並

まとめ

今回は、T-Potの管理画面からログを見ているだけじゃなくて、実際にサーバーに入って、マルウェアを調査して見ました。 バイナリファイルの調査、もっとやりたいのですが現状の自分だとこれが限界・・・

バイナリに関しては10月に勉強する予定なので、技術力ついたらもっと深くまで調査します。

情報処理安全確保支援士統計データ 2018年10月01日更新分

どーも、情報処理安全確保支援士のばぁどです。

2018年10月現在フリーの情報処理安全確保支援士をやっております。

2018年10月1日に情報処理安全確保支援士のかたが新しく登録されました。

今回も前回と同じようにまとめていこうと思います。 前回記事は下記。

ultrabirdtech.hatenablog.com

2018年10月登録者

2018年10月登録者は下記記事にもありますが、新しく8,214名の方が登録されました。

www.ipa.go.jp

今回の更新で、情報処理安全確保支援士は合計で17,360名になりました。結構、多くなりましたね。

2020年までに3万人を超える有資格者を目指すと言うのもあながち・・・うーん。もう一息か・・・

2015年度の少し古い情報ですが、同じ士業の弁護士が日本に36,415名いるのでその半分に迫ってきていますね。(比較対象が弁護士が妥当かはわからないが)

参考(2015年度データPDF)

2018年10月登録者は少し特殊です

最初に特筆することが一つ。 今回、2018年10月度の統計は少し特殊なものになります。

理由は、過去のセキュリティスペシャリストの経過措置対象者の申請可能期間が2018年8月で終わったので、その駆け込み需要もあったようです。

今回新しく登録した8,215名のうち、経過措置で登録された方は6,864名。約76%でした。

残りの方々は2017年4月以降の情報処理安全確保支援士試験に合格された方々もしくは特別措置の方ですね。

IPAからの資料によると、最終的には経過措置対象者である49.105名のうち30.6%に当たる15.018名の方が情報処理安全確保支援士として登録されたようです。

情報処理安全確保支援士登録者数の変遷

今回の登録者数が他と比べても多いのがわかりますね。Wスコア記録しています。

2017年度4月 2017年度10月 2018年度4月 2018年度10月 合計
合計 4,172人    2,822人 2,206 人 8,215 人 17,415人

※情報処理安全確保支援士を辞めた方もいるので、合計者数は現在情報処理安全確保支援士である方の数値と一致はしません。

参考データ

下記のデータを参考に集計しております。

情報処理安全確保支援士検索サービス

riss.ipa.go.jp

各種PDF

情報処理安全確保支援士合格発表時のまとめ資料。

下記ページでリンクと言う形で提供されている。 www.ipa.go.jp

※下記はPDFのリンク先なので、リンク切れの可能性あり。

下記の男女構成、年齢構成は17,415人を100%とした際の数値(%)になっています。

なお今回は、前回集計したスキル、得意分野は集計していません。 理由は、複数回答可能の欄であり、空欄で提出している人もいるし、集計してもあまり有用な情報になり得なかったからです。 あと、面倒臭かったからです!(ドンッ)

統計情報

1. 男女構成

2017年度(春) 2017年度(秋) 2018年度(春) 2018年度(秋) 合計 パーセント(%)
3,945 人 2,660 人 2,073 人 7,697人 16,375 人 94%
227 人    162 人 133 人 517人 1,039 人 6%

2. 年齢構成

2017年度(春) 2017年度(秋) 2018年度(春) 2018年度(秋) 合計
10代 4 3 3 2 |12
20代 320     293 264 656 1,533
30代 1642     1135 813 3,025 6,615
40代 1642     1056 813 3,392 6,903
50代 507     320 292 1,059 2,178
60代 57     15 20 79 171
70代 ----     ---- 2 1 2

※合格当時の年齢なので厳密な数値ではありません。

3. 住所

下記、PDFで公開されています。 https://www.ipa.go.jp/files/000069252.pdf

f:id:UltraBirdTech:20181001192445p:plain

過去の統計していたPDFは上書きされてしまうようです。

前回と比べて特別に記述するところはなさそう。

IPAとしては前回は9人だった鳥取県が今回26人に増えたことが推しポイントらしい。

パソコンなんてあるわけないじゃん!と揶揄されたのは、お隣の島根県ですしね。

f:id:UltraBirdTech:20181001194301j:plain

YouTubeより引用

www.youtube.com

なぜ、鳥取県を推しポイントにしているかはわからなかったです。 単純に他に比べて情報処理安全確保支援士の増加率が多かったのかな?(面倒臭いので集計していません)

普通に書かれていましたね・・・割と大きく。すみません。

増加率は鳥取県が最多だったようです。 f:id:UltraBirdTech:20181001202610p:plain

www.ipa.go.jp

4. 所属企業・団体

企業名・団体名 登録人数
富士通株式会社 415
株式会社日立製作所 370
日本電気株式会社 235
SCSK株式会社 227
KDDI株式会社 190
株式会社日立ソリューションズ 184
NECソリューションイノベータ株式会社 164
株式会社ラック 133
株式会社富士通ソーシアルサイエンスラボラトリ 98
株式会社大塚商会 95
富士ソフト株式会社 93
株式会社日立システムズ 89
トレンドマイクロ株式会社 71
株式会社日立ソリューションズ・クリエイト 70
NRIセキュアテクノロジーズ株式会社 69
NECネッツエスアイ株式会社 61
日本電気通信システム株式会社 61
株式会社野村総合研究所 59
伊藤忠テクノソリューションズ株式会社 57
株式会社日立公共システム 54
日本ユニシス株式会社 52
東日本電信電話株式会社 47
TIS株式会社 45
キヤノンITソリューションズ株式会社 43
株式会社NTTデータ 40
三菱電機インフォメーションシステムズ株式会社 40

※情報処理安全確保支援士が40名以上の企業のみ掲載

今回一番意外だったのがこの項目ですねー。 前回日立製作所さんが断トツで一位だったのですが、今回で富士通さんに逆転されたようです。

富士通さん、何かこの半年で施策を講じたんですかねー。(僕の集計間違いではないことを祈るばかりです)

もちろんグループ会社なども含めてだと数値は変わってきそうですが、前回53名だったのに今回400名越えとは大躍進。

富士通さんも日立製作所さんもセキュリティ人材の育成に力を入れている企業さんだと言うことは知っているので、このまま日本のセキュリティ人材育成をリードして言ってほしいところです。

3桁の大台に乗ってくる企業さんも増えてきましたね。 今回の更新で8つの企業さんがお抱えの情報処理安全確保支援士の人数が3桁を突破しました。

また、情報処理安全確保支援士が在籍する企業さんも増えています。 現在、csvから読み取るに最低でも3234社の日本企業がお抱えの情報処理安全確保支援士がいるようです。 (実際は所属企業を登録していない方もいるので、最低でもこの数値です)

この調子でお抱えの情報処理安全確保支援士をもつ企業さんが増えてほしいです。

情報処理安全確保支援士であるだけで転職できるようになりたい(願望)

まとめ

前回の記事で、2018年度10月は暇だったらやるわーと言っていましたが、今回も暇だったのでやりました。

そんなに暇ではないはずなんですけどねー。

サイバーセキュリティの勉強引き続き頑張ります。