ハニーポット

ハニーポットとは



ハニーポットとは、コンピュータセキュリティにおける一種のおとりシステムです。悪意のある攻撃者が侵入しやすいように意図的に脆弱性を残したシステムをネットワーク上に公開し、攻撃を誘引することで、攻撃者の特定や攻撃手法の分析を行います。ハニーポットは、侵入者を油断させ、内部の活動を詳細に記録することで、セキュリティ対策の強化に役立てられます。

ハニーポットの目的



ハニーポットの主な目的は以下の通りです。

マルウェアの検体収集: ウイルスやワームなどのマルウェアを収集し、分析します。
 攻撃者の誘引: 不正アクセスを試みるクラッカーをおびき寄せ、重要なシステムへの攻撃をそらします。
攻撃手法の調査: 記録された操作ログや通信ログから、不正アクセスの手法や傾向を分析します。

ハニーポットの技術



ハニーポットの初期の事例としては、クリフォード・ストールの著書『カッコウはコンピュータに卵を産む』に登場する「SDIネット」が挙げられます。これは、架空のデータベースを作り、侵入者を誘い込んでその居場所を特定した事例です。現代のハニーポットは、以下のような技術で構成されています。

 脆弱性のあるシステム: 意図的にOSやアプリケーションに脆弱性を残し、攻撃の対象となるように見せかけます。
通信制御: 攻撃を受けても、外部への踏み台とならないように通信を制御します。
 変更検知: 攻撃者によるシステム変更を検出し、記録します。
ログ収集: 通信ログなどを詳細に記録します。

また、ハニーポットは、攻撃者をおびき寄せるために、以下のような手法も用いられます。

 偽のシャットダウンメッセージ: 特定のホストからの通信が集中すると、「メンテナンスのためシャットダウンする」という偽のメッセージを表示し、通信を一時的に遮断します。
応答速度の低下: 利用者が多数いるように見せかけ、応答速度を極端に遅くします。
 メール中継の許可: 実際にはログを記録するだけで、メール中継を許可するように見せかけ、スパム送信者を誘引します。

ハニーポットの種類



ハニーポットは、その実現方法によって、大きく以下の種類に分けられます。

高対話型ハニーポット


実際に脆弱性を残した「本物」のOSやアプリケーションを利用します。高度な情報を得られますが、侵入された際のリスクが高いです。別名、ハイ・インタラクション型ハニーポットとも呼ばれます。

低対話型ハニーポット


特定のOSやアプリケーションをエミュレートし、監視を行います。高対話型に比べ安全に運用できますが、得られる情報量は限定的です。別名、ロー・インタラクション型ハニーポットとも呼ばれます。具体例として、Honeyd、Spector、GHH、mwcollectなどがあります。

仮想ハニーポット


仮想マシンで構成されたハニーポットです。仮想マシンを用いることで、ハニーポットを侵入前の状態に戻したり、リスクを抑えたりすることが可能です。ただし、仮想マシンであることを検出するボットも存在するため、注意が必要です。

分散型ハニーポット


遠隔地に設置されたハニーポットのデータを集中的に管理・分析します。集中管理型のハニーネットとは異なり、分散した環境での監視を可能にします。

ハニーポットファーム


GREなどで転送された通信を、管理されたハニーポットで集めて監視します。複数のハニーポットを遠隔地に設置せずに監視できますが、転送に伴う遅延が問題となる場合があります。

ハニーネットの監視方法



ハニーネットは、ハニーネットプロジェクトで開発されたツールやIDS、パケットキャプチャなどを組み合わせて実現します。通信制御には、Honeywallと呼ばれる専用のファイアウォールが用いられます。また、高対話型ハニーポットでは、sebekというツールを用いて侵入者のキーストロークや暗号化前の通信内容を監視します。

対ハニーポット技術



攻撃者側も、ハニーポットを検出する技術を持っています。例えば、仮想ハニーポットは、マシンのアーキテクチャやMACアドレスなどを調べることで、仮想マシンであるかどうかが判別される可能性があります。

ハニーポットとハニーネット



ハニーポットは一台のおとり用コンピュータを指すのに対し、ハニーネットは複数台のコンピュータで構成されたおとり用ネットワークを指します。仮想コンピュータと仮想ネットワークを用いることで、一台のコンピュータ上にハニーネットを構築することも可能です。

辞書攻撃との関連



ハニーポットには、辞書攻撃を誘引するための仕掛けが施されることがあります。例えば、利用者に簡単なパスワードを設定し、攻撃者に侵入を許すことで、攻撃の動機を分析することができます。

関連書籍



『カッコウはコンピュータに卵を産む』(クリフォード・ストール著)
 『スティーリング・ザ・ネットワーク』(ライアン・ラッセル他共著)
『ハニーネットプロジェクト』(ハニーネットプロジェクト著)
 『Honeypots―ネットワーク・セキュリティのおとりシステム』(ランス・スピッツナー著)

外部リンク



バーチャル・ホスト作成用ソフト “Honeyd”
 Project Honeynet
* Honeywall Project

もう一度検索

【記事の利用について】

タイトルと記事文章は、記事のあるページにリンクを張っていただければ、無料で利用できます。
※画像は、利用できませんのでご注意ください。

【リンクついて】

リンクフリーです。