2018年3月19日第6回 STARDUST

サイバー攻撃に〝攻めの防衛〟

　サイバー攻撃がますます激しさを増している。ネットワーク空間の安全が脅かされており、これでは、インターネットへの依存を拡大している現代社会は、いつ崩壊の危機に直面するとも限らない。ネット社会を守る側でも、専守防衛を決め込んで手をこまねいてばかりはいられない。そんな中、こちらから罠を仕掛けて攻撃側を誘い込む「ハニーポット（蜜ツボ）」の作戦が進行中だ。蜜のような甘い誘惑で要人を誘い込み、重要情報を盗む「ハニートラップ（罠）」のネットワーク版ともいえようか。
　わざと脆弱ポイントをもつシステムをネット上に作り、かつ、重要な情報の偽モノを用意して攻撃を誘い込む。もちろん、ハニーポットにはウイルスの挙動を把握する仕組みをあらかじめ作っておく。ウイルスの挙動や作業を観察してウイルスの特性を暴き、同種の攻撃に対する防御方法を考案してゆく。

(Illustration : Saho Ogirima)

　攻撃誘因基盤では、この並行ネットを数時間程度でネット上に自動構築し、攻撃側に疑いを持たせないようにしながら、仕掛けた脆弱ポイントを通じて内部に誘い込む。攻撃側は侵入した後、ネット内部を調べ回って重要情報をコピーして外部に送信するなどの活動をする。あるいはランサムウェアなどのようにファイルを勝手に暗号化して閲覧できないように変えてしまう。
　罠を仕掛けた側は侵入者に気づかれずにその挙動を観測、機能を分析してゆく。侵入側がハニーポットではないかと疑うのを防ぐため、あちこちに本物らしい偽装の仕掛けを作っておく。
　並行ネットワークでは、Webサーバやファイルサーバをはじめ数十台～数百台のPCを実稼働させ、企業や組織の情報資産を模した偽の模擬情報を使って実在のもののように振る舞わせる。誘い込むのは「バックドア」である。標的型攻撃のウイルス検体を実行させてバックドアを設け、攻撃者が外部から接続を試みるように誘う。侵入に成功した攻撃者は、調査や感染拡大、情報窃取等を試みる。この挙動をリアルタイムに観察、分析するというわけだ。
　攻撃を待つだけではなく、積極的に誘い込んで相手を分析、防御技術を開発する。この情報を共有して防御を強固にすれば、サイバー攻撃に悩まされてきた企業や行政のセキュリティの質は大幅に向上させられる。安全、安心な社会へ一歩近づくことができるだろう。