コンテンツにスキップ

ハニーポット

出典: フリー百科事典『ウィキペディア(Wikipedia)』

ハニーポット (: honeypot) は、コンピュータセキュリティにおいて、悪意のある攻撃を受けやすいように設定した機器を、おとりとしてネットワーク上に公開することにより、サイバー攻撃を誘引し、攻撃者の特定や攻撃手法を分析する手法、あるいは、そのような用途で使用するシステムをいう[1]

ハニーポットを設置する目的は、ウイルスワームの検体の入手、不正アクセスを行うクラッカーをおびき寄せ重要なシステムから攻撃をそらしたり、記録された操作ログ・通信ログなどから不正アクセスの手法と傾向の調査を行うなどである。

技術的手法

[編集]

ハニーポットの初期の事例として、天文学者クリフォード・ストールの著書『カッコウはコンピュータに卵を産む』にある「SDIネット」が挙げられる。1987年ローレンス・バークレー国立研究所のシステム管理者であったストールは、同所のコンピュータを踏み台にして軍事施設のデータベースを漁っていた侵入者の正体を調べるために、「SDIネット」と名付けたいかにもSDI(戦略防衛構想)の資料を扱っていそうな偽のデータベースを作り上げた。これに侵入者が没頭している間にその居場所を捜査当局に逆探知させることに成功したのである。後の調査で侵入者は入手した情報をKGBに売り渡していたことがわかり、世界的なニュースとなった。

一般的なハニーポットの技術は、オペレーティングシステム (OS) やアプリケーション脆弱性を残した攻撃を受ける部分と受けた攻撃によって外部への踏み台とならないように通信をコントロールする技術、攻撃者の不正アクセスによって変更された点の検出から成り立つ。また、ハニーポットとは別に通信ログをとることも重要である。

CPUやネットワークリソースを提供してくれるコンピュータはクラッカーにとって恰好のおもちゃとなるため、内部の資源や情報を得ようと攻撃を行う。しかしそのコンピュータに、あらかじめ仕掛けを施しておき、特定のホストからの通信が集中すると「メンテナンスのため、あと10分でシャットダウンします」というメッセージを出して、通信をしばらく締め出してしまったり、(架空の)ユーザーが多数利用しているように見せかけて、極端に反応速度を落としたりする(なお、これらと同時に、外部に気付かれない形で、通信ログを取り続けている)。こうすると、クラッカーは余計に中身が気になって、後はもうこのサーバの中身を見ることだけに熱中することになる。

また、メール第三者中継を許可する設定に見せかける手法もある。実際にはログを出力するだけにしておいて、第三者中継を許可するように見せかけておけば、スパム送信者が興味深い足跡を残すこともあるし、すべて架空のメールアドレス宛てに設定したメーリングリストを用意しておけば、それ宛にもスパムメールを送ろうとするはずだ。

なお、これらの機能をまとめて提供するソフトウェア製品も販売されている。

種類

[編集]

ハニーポットは、目的に応じて設計されるので目的の数だけハニーポットの形態があるといえるが、実現方法によって次のように分けることができる。

高対話型ハニーポット

[編集]

The Honeynet Projectハニーネットの様に実際に脆弱性を残した「本物」のOSやアプリケーションなどをハニーポットとして利用する。「本物」を使う分、高度な情報を得ることができるが、侵入されたときのリスクが高い。また、ハイ・インタラクション型ハニーポットと呼ばれることもある。

低対話型ハニーポット

[編集]

特定のOSやアプリケーションをエミュレートし監視を行う。エミュレートした範囲に機能が制限されるので高対話型に比べ比較的安全に運用が出来る。ただ、機能を限定しているので情報量は落ちてしまう。特定用途向けのハニーポット。Honeyd、Spector、GHH ("Google Hack" Honeypot)、mwcollectなどがある。また、ロー・インタラクション型ハニーポットと呼ばれることもある。

仮想ハニーポット

[編集]

仮想機械VMwareXenなど)で構成されたハニーポット。仮想機械を用いることで、ホストを侵入前の状態に戻したりなど、リスクを抑えたり管理面で有効な方法である。だが、ボットの種類によっては仮想機械であるか調べるものがあり、仮想機械の特徴を調べることでハニーポットで監視していることが侵入者に知られる可能性もある。

分散型ハニーポット

[編集]

集中管理するハニーネットとは異なり、遠隔地のハニーポットのデータを集中的に管理分析を行う。

ハニーポットファーム

[編集]

GRE (General Routing Encapsulation) などで転送された通信を管理されたハニーポットで集め監視する。ハニーネットのように、ハニーポット用に管理されたネットワークを用いて、遠隔地の監視を行う。侵入に伴うリスクを集中することができ、複数個所(物理的に遠隔地)にハニーポットを設置することをせずに監視が可能となる。しかし、問題として転送に伴う遅延時間が避けられない。転送による遅延時間によって侵入者にハニーポットファームであることを知られる可能性がある。

ハニーネットの監視方法

[編集]

ハニーネットは、ハニーネットプロジェクトで作成されたツールやIDSパケットキャプチャを組み合わせ実現している。通信の制御と監視が重要となるが、Firewallをハニーポット用に設計されたHoneywallでネットワークに流れるトラフィックを制御、監視している。また、ハニーネットで用いられる高対話型ハニーポットにはlkm-rootkitの技術を用いたsebekというツールを用いて侵入者のキーストロークや暗号化される前の通信内容を監視する。

対ハニーポット技術

[編集]

仮想ハニーポットは、マシンのアーキテクチャMACアドレスなどを調べることで仮想機械で監視しているか調べることが可能である。

脚注

[編集]
  1. ^ ASCII.jpデジタル用語辞典,情報セキュリティ用語辞典,デジタル大辞泉. “ハニーポットとは”. コトバンク. 2021年7月31日閲覧。

関連項目

[編集]
  • コンピュータセキュリティ
  • コンピュータ・フォレンジックス
  • クラッカー
    ハニーポットが一台のおとり用コンピュータを用意するのに対して、ハニーネットは複数のコンピュータで成り立っているおとり用ネットワークを用意する。仮想コンピュータと仮想ネットワークを使い1台のコンピュータ上にハニーネットを構成することができる。
  • 辞書攻撃
    クラッカーがよく用いる手法である。ハニーポットには、利用者権限に比較的簡単なパスワードを、管理者権限にはもう少し難しいものを設定することが多い。例えばIDを“dog”でパスワードを“cat”にでも設定しておけば、クラッカーは辞書攻撃でこれらのIDとパスワードの組み合わせを簡単に見付け、まずシステムに悪影響を与えられない利用者権限で接続し、コンピュータ内の一般公開された情報を見て、それらを自由にいじることを望むようになる。

参考書籍

[編集]

外部リンク

[編集]