メニュー
おすすめコラム

2019年12月2日
常識を疑え!ハッカー視点のセキュリティ
株式会社トライコーダ 上野宣

第21回 罠を仕掛けて攻撃者を誘い込むハニーポットの世界

「攻撃者から自分たちの資産を守るために必要なことは何でしょうか」という問いにはさまざまな答えが挙げられますが、その中の1つには「攻撃者の行動を知る」ということは必ず挙がるでしょう。
攻撃者が行う一般的な攻撃手法については、以前の本連載でも取りあげたCyber Kill ChainやMITRE ATT&CK™ などで知ることができます。しかし、自分のところに来ている攻撃者が具体的に何をしているかはどのようにして知ればいいのでしょうか。

その答えの1つが「ハニーポット」です。
ハニーポット(Honeypot)は直訳すれば「蜜壺」ですが、その名の通りセキュリティの甘いサーバーなどを甘い蜜として仕掛けることで、不用心な攻撃者を誘い込む罠として使用します。

ハニーポットの有名な事例としては、ローレンスバークレー国立研究所に侵入していたハッカーの実際の逮捕劇を描いた『カッコウはコンピュータに卵を産む』(1989年)という書籍で一種のハニーポットが登場しています。研究所に侵入していたハッカーを捕まえるために「SDI(戦略防衛構想)ネット」と名付けた如何にも重要そうなデータベースを用意して、そこをハッカーが漁っている間にCIAと連携して逆探知して逮捕するという一幕に登場します。

ハニーポットを使用することで攻撃者の行動を知ったり、攻撃者を目的から目をそらす罠として使用したり、マルウェアなどの検体を集めたりすることができます。そんなハニーポットの世界を観てみましょう。

# ハニーポットの種類
ハニーポットには大きく分けて2種類あります。

* 高対話型ハニーポット
OSやアプリケーションは実際のものを用いて、そこに残った脆弱性などをそのまま攻撃者に弱点として見せるタイプのハニーポットです。
良い点としては、実際のアプリケーションや脆弱性などをそのまま残しているため、攻撃者にとってはリアルな攻撃対象として見えるところです。そのため攻撃者はいつも通りの行動を行う可能性が高まるため、不注意な攻撃者のいつも通りの行動を観察することができる可能性が高まります。
悪い点としては、実際のシステムを利用するため攻撃者に侵入された後に、他のところに影響を及ぼさないことに注意しなければならないところです。運用するためにはかなりの注意が必要で、リスクも高いということが挙げられます。場合によっては、侵入した攻撃者が運用者の気が付かないようにシステム内で自由に活動してしまう可能性があります。

* 低対話型ハニーポット
実際のアプリケーションなどを用いずに、特定のアプリケーションなどをエミュレートしたシステムを用意し、そのシステムについて監視を行います。
良い点としては、攻撃者がどういった行動を行ってもシステムの範囲内で行動が制限されるため、高対話型に比べてシステム全体が乗っ取られるリスクを減らすことができます。
悪い点としては、特定の攻撃手法についてわざと脆弱性を残したシステムのため、攻撃可能な範囲が狭まり、得られる情報量が少なくなることが多いことでしょう。

どちらのシステムも一長一短ですが、どちらにも共通する点としては下記のことに注意することです。

  • * 実際に運用されているシステムに似せること
  • * ハニーポットだと攻撃者にバレないこと
  • * 攻撃者の行動がログに残ること
  • * ハニーポットが攻撃者の手に落ちないこと

# 初心者向けのハニーポット

すべてにおいて万能なハニーポットを運用することは簡単ではないため、運用する目的を考えてどのタイプのものを用意するか考えた方が良いでしょう。
使いやすいハニーポットをいくつか紹介しておきます。

* WOWHoneypot
HTTPに特化したハニーポットで、Webアプリケーションなどに対する攻撃を観察することができます。
特定のアプリケーションに対するハニーポットですが、昨今最も多いのはWebアプリケーションに対する攻撃ですので、それに対して安全に観察することができます。

* Honeytrap
TCPやUDPの各種ポートに対するハニーポットで、各種サービスに対する攻撃を観察することができます。

もし、ハニーポットを運用したい場合や、さらなる情報を知りたい場合には下記を参照すると良いでしょう。
* The Honeynet Project
* STARDUST

ここで紹介したもの以外にもさまざまな研究者が公開しているハニーポットがあります。
書籍で学ぶのであれば「サイバー攻撃の足跡を分析するハニーポット観察記録(森久和昭 :著)」がお勧めです。

ハニーポットの運用には幾ばくかのリスクを伴いますが、適切に運用することができれば、自分たちのシステムに対してやってくる攻撃について具体的に知ることができるでしょう。

Copyright © NEC Fielding, Ltd, 2019. All rights reserved.