ネットワークカメラを狙ったような探索アクセスをキャッチ
僕のハニーポットにこんな感じのアクセスが来ていました。
1件目
POST /onvif/device_service HTTP/1.1 Accept-Encoding: gzip, deflate Content-Length: 1144 Content-Type: application/soap+xml; charset=utf-8; action="http://www.onvif.org/ver10/device/wsdl/GetSystemDateAndTime" Host: XXX.XXX.XXX.XXX:80 Soapaction: http://www.onvif.org/ver10/device/wsdl/GetSystemDateAndTime User-Agent: AvigilonSoapClient/6.10 <?xml version="1.0" encoding="UTF-8"?> <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://www.w3.org/2003/05/soap-envelope" xmlns:SOAP-ENC="http://www.w3.org/2003/05/soap-encoding" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:tt="http://www.onvif.org/ver10/schema" xmlns:tns1="http://www.onvif.org/ver10/topics" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:wstop="http://docs.oasis-open.org/wsn/t-1" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsnt="http://docs.oasis-open.org/wsn/b-2" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:ter="http://www.onvif.org/ver10/error" xmlns:tavg="http://www.avigilon.com/onvif/ver10/avigilon-types" xmlns:tds="http://www.onvif.org/ver10/device/wsdl" xmlns:xmime="http://www.w3.org/2005/05/xmlmime" xmlns:xop="http://www.w3.org/2004/08/xop/include"><SOAP-ENV:Header></SOAP-ENV:Header><SOAP-ENV:Body><tds:GetSystemDateAndTime></tds:GetSystemDateAndTime></SOAP-ENV:Body></SOAP-ENV:Envelope>
2件目
POST /onvif/device_service HTTP/1.1 Accept-Encoding: gzip, deflate Content-Length: 1178 Content-Type: application/soap+xml; charset=utf-8; action="http://www.onvif.org/ver10/device/wsdl/GetServices" Host: XXX.XXX.XXX.XXX:80 Soapaction: http://www.onvif.org/ver10/device/wsdl/GetServices User-Agent: AvigilonSoapClient/6.10 <?xml version="1.0" encoding="UTF-8"?> <SOAP-ENV:Envelope xmlns:SOAP-ENV="http://www.w3.org/2003/05/soap-envelope" xmlns:SOAP-ENC="http://www.w3.org/2003/05/soap-encoding" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:ds="http://www.w3.org/2000/09/xmldsig#" xmlns:tt="http://www.onvif.org/ver10/schema" xmlns:tns1="http://www.onvif.org/ver10/topics" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:wstop="http://docs.oasis-open.org/wsn/t-1" xmlns:wsse="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-secext-1.0.xsd" xmlns:wsnt="http://docs.oasis-open.org/wsn/b-2" xmlns:wsu="http://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-wssecurity-utility-1.0.xsd" xmlns:ter="http://www.onvif.org/ver10/error" xmlns:tavg="http://www.avigilon.com/onvif/ver10/avigilon-types" xmlns:tds="http://www.onvif.org/ver10/device/wsdl" xmlns:xmime="http://www.w3.org/2005/05/xmlmime" xmlns:xop="http://www.w3.org/2004/08/xop/include"><SOAP-ENV:Header></SOAP-ENV:Header><SOAP-ENV:Body><tds:GetServices><tds:IncludeCapability>false</tds:IncludeCapability></tds:GetServices></SOAP-ENV:Body></SOAP-ENV:Envelope>
どちらも/onvif/device_serviceにアクセスが来ていることから、ネットワークの標準規格であるONVIFを使用しているネットワークカメラの探索アクセスのようです。
SHODANで調べてみると少なくとも世界中で90万以上のネットワークカメラが稼働しているので、注意が必要です。
AmazonでもONVIF規格に準拠したネットワークカメラが販売されていますが、レビューを見てみると結構パスワードを書き換えられて、乗っ取られたという事例があるようなので、ネットワークカメラの購入を考えている人は周りのIT(特にネットワークやセキュリティ)に詳しい人にどう設置すればよいか確認してみてください。