sshサーバ(sshd)への総当たり攻撃(Brute-force attack)は2015年の今では，珍しいものでもないが，総当り攻撃を仕掛けてくる側（クラッカー）が，どの様なユーザー名で総当りをしているのか少し調べてみることにしてみた．

私はインターネット上に2015年11月現在で4台サーバを設置していて，その 4台の sshd サーバのログから，どの様なユーザ名でアクセスを仕掛けてくるかを調べてみた．

$ cat *.log | grep sshd | grep "Invalid user" | awk '{print $8;}' | sort | uniq -c | sort -nr | wc -l
    2464

2464種類のユーザー名でsshdへアクセスを仕掛けてきているようだ．

「sshd への不正アクセス」は，当初は上記と同じ方法で調べたが，その場合は root 等の様な存在するユーザ名に対しての情報は得られなかったので，「パスワード認証に失敗したユーザ」として調べる．上記の何種類のユーザ名かの調べ方とは少し異なるので注意．

$ cat *.log | grep sshd | grep "Failed password for " | sed -e 's/ invalid user / /' | awk '{print $9;}' | more | sort | uniq -c | sort -nr | head -20
 485 root
 150 admin
 106 ubnt
  47 test
  28 user
  26 support
  20 pi
  18 wordpress
  13 oracle
  11 guest
  11 aaron
  11 a
   8 nmis
   7 agsadmin
   6 ftpuser
   6 D-Link
   5 vagrant
   5 cisco
   5 PlcmSpIp
   4 postgres

表にしてみる

root は UNIX系OSの管理者アカウント名で，数としてはダントツといえる．

admin ユーザ，いわゆる管理者ユーザ名として “admin” と言う名称を用いるのは想像に難しくない．

興味深い点としては，第3位の “ubnt” ユーザ名である．

私はてっきり Linux ディストリビューションの ubuntu の略かと思ったのだが，“ubnt ssh server” で検索すると，どうも異なるようだ．

7位にあるユーザ名 “pi” は，Raspberry pi 向け Linux ディストリビューションの一つである Raspbian の標準ユーザ名が “pi” であり，それが狙われていると思える． Raspbian の “pi” ユーザ名は，標準のパスワードは “raspberry” なので，特に何もケアせずに Raspberry pi で Raspbian イメージを動かしてインターネットから見える所に置くと，即不正アクセスされるだろう．

“D-Link” や “cisco” はネットワーク機器への進入を試みようとしていると思える．

19位の “PlcmSpIp” は，何のユーザ名なのかは分からなかったが，どうも Polycom 製品で使われているユーザ名のようだ．

まず，当然のこととして，インターネットから見える所で sshd を動かしているならば，sshd への認証は公開鍵暗号方式のみとするのが良いだろう．

とは言うものの，公開鍵がない場合のバックアップ手段としてパスワード認証を使いたい場合や，私のようにズボラな人間(!!)がパスワード認証を使いたい場合がある．

その様な場合は，あまり安直なユーザ名を用いないほうが良いだろう．

root は，とにかくリモートからの ssh は出来ないようにしておいたほうが良い．

ソフト名をユーザ名にするのは，そのソフトの標準の設定もあるかも知れないが，変更可能ならば変更しておいたほうが良いだろう．

また，昨今は Raspberry pi の様な小型 Linux-BOX を IoT 機器として運用するケースもある．その様な場合は，ディストリビューション標準のユーザ名は基本的に使わないほうが良いだろうし，いっそ，そのユーザ名は削除したほうが良いかもしれない．

ネットワーク機器は，標準出荷時設定のユーザ名のまま使うのは避けたほうが良いだろう．

「サーバが狙われる」のではなく，IoT機器でも何でも，ssh でリモートログインできそうな機械は，なんでも狙われると考えたほうが良いだろう．