TFTPハニーポットの結果

2026/07/14 4:11

TFTPハニーポットの結果

RSS: https://news.ycombinator.com/rss

要約

Japanese Translation:

1 ヶ月の期間に、月額 $5 の VPS と Dell R530 ホームサーバーの両方に展開された低コスト TFTP ハニーポットは、Shadow Servers、Censys、Driftnet、Palo Alto Networks (Secretive)、Internet Census、Netscout、および Shodan という主要な 7 つの情報セキュリティ企業が毎日 20〜50 つの TFTP パケットを送信した。大部分のトラフィックは能動的な悪用ではなく、通常的な脆弱性情報収集やソフトウェア特定のためのものである。主な観察パターンとしては、Shadow Servers が約 11 秒ごとに ERROR パケット(コード 4(不良ファイル名)、0(アクセス違反)、5(無効な TID))を送信していること;Censys が netascii で"/a"への RRQ を発行していること;Driftnet が netascii で 8 文字のランダムなファイル名を要求し、時折 IPv6 経由であること;Palo Alto Networks がペアのリクエスト(netascii の"/a"RRQ に続いてオクテットモードのファイルリクエスト)を送信しており、間隔は約 24 時間に集まり、35 日間に 35 組が検出されたこと;Shodan がポート 18020 から 2 分以内に 4〜6 パケットの burst で非準拠の 16 バイト UDP ペイロード(ヘックス:00000417271019800000000000034925)を配信していること;Internet Census も同様の非準拠ペイロードを示していること;Netscout がオクテットモードで"ay9mfwq7xxmd4w6c7\xa0"への RRQ を要求していること;および特定のプロブがディレクトリトラバーサル試行(="../..\boot.ini")や既知のファイル名("pxelinux.0","r7tftp.txt","file_id.diz")などをターゲットにしていることが挙げられる。TFTP サーバーソフトウェア自体に対して確認済みの CVE が非常に少ないことから、スキャナーがサービスを列挙し続けていても悪用までエスカレートしない限り、トラフィック量は安定したまま推移すると予想される。主要な教訓は、UDP ポート 69 が開放されたシステムが公的なスキャナーリストで一貫して目立つという点であり、組織としてはそのサービス全体を除去するのではなく、構成を強化したり、そのポートへのアクセスを制限したりするのが適切である。

本文

私の TFTP ハニーポット運用レポート:1 ヶ月以上の監視データと分析

📊 概要

本プロジェクトは、VPS(月額 $5)と Dell R530 ホームサーバーの両環境で常時稼働し、約 1 ヶ月のデータを収集した TFTP ハニーポットです。

  • トラフィック量: 2 環境合わせて 1 日あたり 20〜50 パケットを計測。
  • 交通パターン: 両サーバーでほぼ同一のパターンを示す。
  • 主要発見: UDP 69 ポートの日常的なスキャンが確認されたが、**期待した悪意のある攻撃ではなく、InfoSec 企業による定期スキャン(7 社)**であることが判明した。

🔍 特定された定期的なスキャナー(7 社)

以下の上記企業は、主に自社 IP を使用して定期的なスキャンを実施しています(概ねほぼ 1 日おきの周期)。

1. Shadow Servers

  • 振る舞い: エラーパケットを約 11 秒間に 5 回発生させる。
  • エラーパケット内容:
    • Bad Filename
      (コード 4)
    • Access violation
      (コード 0)
    • オークション・バグ: コード 4 +
      \x05\x00\x044\x00\x00
    • Illegal TID
      (コード 5)
    • Illegal TFTP operation
      (コード 4)
  • 特定ファイルリクエスト:
    a.pdf
    (タイプ:
    octet
    )を突発的なスケジュールで要求。

2. Censys

  • 振る舞い: パス
    /a
    に対する netascii タイプの RRQ リクエストを実行。

3. Driftnet

  • 振る舞い: 8 つのランダムな文字からなるファイル名(netascii)を要求。
  • パターン例:
    [a-zA-Z]
    8 文字連続。
  • 特徴: IPv6 を介してアクセスされる場合がある。

4. Shodan

  • 振る舞い: TFTP に準拠しない 16 バイトの UDP ペイロードを送信。
  • ヘックスデータ:
    0000041727101800000000000034925
  • 特徴:
    • 約半分の時間で、UDP ポート 18020 から届く。
    • 複数の IP アドレスから 2 分以内で 4〜6 パケットのブレストが発生する。

5. Secretive Palo Alto Networks

  • 振る舞い:
    /a
    (netascii)に対する RRQ の後に、ファイル名(octet)に対する RRQ を送るペアで動作。

6. Netscout

  • 振る舞い: ファイル名
    ay9mfwq7xxmd4w6c7\xa0
    に対する octet タイプの RRQ リクエスト。

7. Internet Census

  • 振る舞い: パス
    /a
    (netascii)への RRQ と、TFTP に準拠しない 16 バイト UDP ペイロードを送信。
  • ヘックスデータ:
    000004172710198000000000xxyyzzww
  • 特徴: Shodan の非標準ペイロードと表面構造が酷似している。

注記: これら 7 社は主に「TFTP サーバーが存在するか」を同定することを目的としています。特定のサービス内容以上の情報は得られないようです。


📅 プロブ(スキャン)の周期分析

35 日間の常時稼働データより、主要 3 社のプロブ間隔が分析されました。

企業最小値 (時間)中央値 (時間)最大値 (時間)
Palo Alto Networks1424.233.7
Netscout31.972.7260
Censys0 (即座)2460
  • Palo Alto Networks: リクエストペアは約 45 秒間隔。初回の周期は平均 24.09 時間(変動あり)。
  • 注意点: Censys の場合、最小値が 0 であるため、「中央値が 24 時間」という特徴は信頼性が低いと判断されます。

🕵️‍♂️ 不明解明のプロブ:不規則または希少なケース

以下のファイル名やヘックスデータによる RRQ は、特定のスケジュールを持たないか極めて稀なものです。

計測された特殊なリクエスト一覧

回数名称 / 内容タイプ備考
5OACK ペア--
1
startup-config
octet-
1
masscan-test
netasciiRobert Graham の開発した
masscan
関連の隠れたプロブの可能性
2
test.xxx
octet-
2
test
octet-
7
file_id.diz
octet-
11非準拠 (バイナリ)ヘックス:
00001000...
バイナリ 12 バイト
1
..\\..\\..\\boot.ini
octetWindows TFTP サーバーのディレクトリトランジション確認用?
6
pxelinux.0
octetPXE ブート相关文件
9
config
octet, blksize:1428オプション設定を含む
6
a
octetAlpha Strike Labs によるものか?
1
r7tftp.txt
octetnmap の TFTP サーバー ID モジュールで要求されるファイル名と一致
1非準拠 (help)ヘックス:
68656c70...
"help"
文字列 + 2 つの CRLF エンドオブライン
3非準拠 (Shodan-like)ヘックス:
00000417...
バイナリ 16 バイト(Shodan と類似)

その他の奇数なファイル名ブレスト (5 回発生)

  • ファイル名:
    y000000000028.cfg
    ,
    000000000000.cfg
    ,
    y000000000000.boot
    ,
    ata192.cfg
    ,
    spa504g.cfg
    ,
    spa112.cfg
  • 特徴: 全て octet タイプ。発信元 IP は199.115.115.137

🎯 スキャンの目的とは?

収集データから読み取れるスキャンの意図は以下の通りです。

1. TFTP サーバーの存在確認(ポート 69 の監聴)

  • 目的: UDP ポート 69 を開いているホストを特定すること。
  • 手法:
    /a
    やランダムな文字列など、無意味な RRQ を送ることで「応答があるかないか」のみを確認する。
  • 該当者: Netscout, Internet Census, Censys など。

2. サーバーソフトウェアの特定

  • 手法: パロアルトネットワークス(Palo Alto Networks)のリクエストペアなど、異なるファイルタイプやパスで応答を引き出す。
  • 目的: どのサーバーソフトウェアが稼働しているかを識別したい。
  • 仮説: エラーパケットの返し方やオークション・バグの反応の違いから、サーバーの型を推測している可能性が高い。

3. 設定不備(脆弱性)の確認

  • Windows TFTP サーバー:
    boot.ini
    のディレクトリトランジション確認。
  • PXE ブート環境:
    pxelinux.0
    などの特定ファイルへのアクセス試み。
  • 一般設定:
    config
    ,
    startup-config
    など、標準的な設定ファイルへのアクセス。

4. 特殊なツールによる検知

  • nmap:
    r7tftp.txt
    の要求は、nmap の TFTP サーバー ID モジュールの特徴的行為。

💡 考察と結論

最大の皮肉:悪意あるハッカーではなく「安全業界」

  • 事実: 大半の TFTP トラフィックは、ニッチな監視ソフトウェアを標的とした InfoSec 企業 から来ている。
  • 発見: 期待したような CVE 悪用や高度な攻撃は見られなかった。TFTP 向けの脆弱性(CVE)自体が非常に少ないため、直接的な悪用ではなく「存在確認」や「ソフトウェア特定」がメインの目的である。

Shodan の非標準パケット

  • TFTP に準拠しない 16 バイトのパケットを送り続ける意味は不明瞭。TFTP サーバー向けの脆弱性は少ないため、特定の CVE 悪用の試みではないと判断される。

同じ日のほかのニュース

一覧に戻る →

2026/07/14 7:19

『アジア最浄の村』が日曜日観光客禁止に

## Japanese 翻訳: 2026 年 1 月以来、インディアのメガラヤ州にある約 600 人の居住者がいるモーリャン・オン(Mawlynnong)村では、「真の村の生活」を再建する目的として、日曜日の昼間の観光客に対する厳格な禁止措置を導入しています。1902 年に設立された教会が存在し、人口の推定 100% がクリスチャンであるこのコミュニティは、日曜日には単一の道路への入口を黒い金属製のゲートで閉鎖して、 uninterrupted な礼拝を保証しています。以前からほとんどの観光関連事業所が日曜日の営業停止を選択していました(レストランは 2 カ所のみ営業)ましたが、公式な禁止措置により、今では店舗や一日利用施設が完全に閉鎖されるようになっています。一泊予約を持つゲストはこの昼間の旅行禁止からの例外扱いで、ゲストハウスに滞在することができ、一方で地元のレストランや記念品販売店は引き続き閉鎖されています。住民は、村評議会の委員でもあるプリシウス・コングドプ(Precious Khongdup)を含むコミュニティの一致した支持を受けながら、この取り組みを文化のアイデンティティ、精神的なリズム、および 2003 年に「アジアで最も清潔な村」と命名されたり、2014 年にナレンドラ・モディ首相のクリーン・インディア・ミッションキャンペーンの際に全国的な注目を得たりした功績をもたらした規律を保持するために不可欠だと考えています。この決定は、観光客による妨害に対する具体的な懸念に対応しており、観光客が地面にプラスチック製の水ボトルを置き去りにするというバイラル化した事象などが挙げられ、これにより地元からは強い反発が生じていました。言語学の教授ヴィジャヤ・デブナス(Vijaya Debnath)を含む専門家は、このイニシアチブを称賛しており、清潔さを維持しつつ、村民の静かな一日の休息と祈りの必要性にも敬意を表していると評価しています。

2026/07/14 3:22

Xcode を起動することなく Mac および iOS アプリを開発して配送する方法

## Japanese Translation: 本テキストでは、Xcode を一度設定した後の開封を不要とする堅牢で完全にヘッドレスの iOS アプリケーションの作成・デプロイワークフローが概説されています。シェルスクリプトによるライフサイクル全体のアオマティゼーションを通じて、開発者は `xcodebuild` コマンドラインツールを用いてコードをコンパイルし、`notarytool` によってビルドを保護し、`devicectl` を用いて物理デバイスにアプリを直接インストールします。セキュリティは、証明書ベースのキーチェーンおよび外部パスワードマネージャーの活用により維持され、プライベートキーなどの機密情報はバージョン管理システムへの投入を完全に防ぎます。本システムは XcodeGen を用いてプロジェクトを管理し、煩雑なローカルフォルダではなくクリーンな YAML 設定ファイル(`.yml` ファイル)によってプロジェクトを制御し、アドホックテスト版と公式開発者 ID リリースを自動的に区別します。一度設定されたリリーススクリプトは、アーカイブ、署名、認証化、スタプリング、インストールを含む厳格なパイプラインを実行し、沈黙する失敗を防ぐために堅牢なエラー処理(`set -euo pipefail`)を採用します。このアプローチは、チームが手動のマウス操作または GUI ウィンドウなしに、実際に動作するソフトウェアを効率的にデプロイするために安全で再現可能な CI パイプラインを構築することを可能にします。 ## Text to translate: The text outlines a robust, fully headless workflow for creating and deploying iOS applications that eliminates the need to open Xcode after an initial setup. By automating the entire lifecycle through shell scripts, developers utilize command-line tools such as `xcodebuild` to compile code, `notarytool` to secure builds, and `devicectl` to install apps directly onto physical devices. Security is maintained by leveraging certificate-based keychains and external password managers, ensuring sensitive secrets like private keys never enter version control. The system employs XcodeGen to manage projects via clean YAML configurations (`.yml` files) rather than cluttered local folders, automatically distinguishing between ad-hoc testing versions and official Developer ID releases. Once configured, a release script executes a rigorous pipeline involving archiving, signing, notarizing, stapling, and installation, while using strict error handling (`set -euo pipefail`) to prevent silent failures. This approach empowers teams to establish secure, repeatable CI pipelines that deploy real software efficiently without any manual mouse interactions or GUI windows.

2026/07/14 1:06

Apple が発表した新たな音声分析 API「SpeechAnalyzer」のベンチマークテストで、Whisper とその前代モデルと比較

## Japanese Translation: Apple の新しい SpeechAnalyzer API は、次期 OS 26 の一部として提供されるもので、英語の読み上げ音声に対する優れたオンデバイス音声認識を実現しており、特定ベンチマークコンテキスト内では従来のツールや人気が高い Whisper モデル(Tiny, Base, Small)を大幅に上回っています。この優位性は、M2 Pro チップなどの Apple ハードウェアで行われた厳密なローカルベンチマークを通じて証明され、オーディオを外部サーバーにアップロードすることなく、高速な処理速度——Whisper Small の計算時間の約 1/3——を実現することが示されました。清潔な LibriSpeech テストデータに対しては、従来の SFSpeechRecognizer API に比べて単語誤りを約 4 倍削減し(2.12% WER から 9.02%)、ノイズのあるデータに対しても同様の劇的な改善が見られました。この研究では、Inscribe のプロダクションコードパスと同一のテストハルネスを用い、Whisper の測定値は OpenAI が公開した値と比較しましたが、Whisper の相対的な不正確さは、これらのベンチマーク(アクセントのある音声、遠距離音声、または複数話者シナリオを含まない)に限定されたもの임을 指摘しました。重要なのは、すべてのテストが完全にオンデバイスで行われたことであり、従来の SFSpeechRecognizer もローカルで使用される場合でもクラウド処理にデフォルトで切り替わるという点です。これらの結果に基づき、Inscribe は製品ロジックを更新し、対応言語(現在約 30 のロケール)では SpeechAnalyzer を優先し、未対応の言語のみを Whisper に切り替えました。さらに、研究チームは Inscribe が SpeechAnalyzer でオーディオファイルを取り扱う際に重大なバグを見出し、生テキストデータを検証のために公開ダウンロード可能とする措置を講じました。これは、Apple エコシステム内のプライバシー重視かつ高パフォーマンスなオンデバイス AI 機能において大きな飛躍を意味します。