ハニーポット
ハニーポット (Honeypot) はもともと"蜜(の詰まった)壷"の意味。転じてコンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目を逸らさせたり、コンピュータ フォレンジックスを行うための証拠を集めたりする、一種の囮(おとり)手法に使われる。(手法そのものをハニーポットと呼ぶこともある。)
目次
概要
ハニーポットは囮のために設置するので正規の通信が発生しないという特徴がある。これは、記録に残るアクセスはすべて不正アクセスとなるので、誤検知を減らし検知洩れを無くすことができる。 ハニーポットの目的として、ウイルスやワームの検体の入手、不正アクセスを行うクラッカーをおびき寄せ重要なシステムから攻撃を逸らしたり、記録された操作ログ・通信ログなどから不正アクセスの手法と傾向の調査を行うなど挙げられる。
技術的手法
ハニーポットの初期の事例として、天文学者クリフォード・ストールの著書『カッコウはコンピュータに卵を産む』にある「SDIネット」が挙げられる。1987年、ローレンス・バークレー国立研究所のシステム管理者であったストールは、同所のコンピュータを踏み台にして軍事施設のデータベースを漁っていた侵入者の正体を調べるために、「SDIネット」と名付けたいかにもSDI(戦略防衛構想)の資料を扱っていそうな偽のデータベースを作り上げた。これに侵入者が没頭している間にその居場所を捜査当局に逆探知させることに成功したのである。後の調査で侵入者は入手した情報をKGBに売り渡していたことが判り、世界的なニュースとなった。
一般的なハニーポットの技術は、OSやアプリケーションに脆弱性を残した攻撃を受ける部分と受けた攻撃によって外部への踏み台とならないように通信をコントロールする技術、攻撃者の不正アクセスによって変更された点の検出から成り立つ。また、ハニーポットとは別に通信ログをとることも重要である。
CPUやネットワークリソースを提供してくれるコンピュータはクラッカーにとって恰好の玩具となるため、内部の資源や情報を得ようと攻撃を行う。しかしそのコンピュータに、予め少々意地の悪い仕掛けを施しておき、特定のホストからの通信が集中すると「メンテナンスのため、あと10分でシャットダウンします」というメッセージを出して、通信をしばらく締め出してしまったり、(架空の)ユーザーが多数利用しているように見せ掛けて、極端に反応速度を落としたりする(なお、これらと同時に、外部に気付かれない形で、通信ログを取り続けている)。こうすると、クラッカーは余計に中身が気になって、後はもうこのサーバーの中身を見ることだけに熱中することになる。
また、メールの第三者中継を許可する設定に見せ掛けるのもよいだろう。実際にはログを出力するだけにしておいて、第三者中継を許可するように見せかけておけば、スパム送信者が興味深い足跡を残すこともあるし、すべて架空のメールアドレス宛てに設定したメーリングリストを用意しておけば、それ宛にもスパムメールを送ろうとするはずだ。
なお、これらの機能をまとめて提供するソフトウェア製品も多数販売されている。
種類
ハニーポットは、目的に応じて設計されるので目的の数だけハニーポットの形態があるといえるが、実現方法によって次のように分けることが出来る。
高対話型ハニーポット
The Honeynet Projectのハニーネットの様に実際に脆弱性を残した「本物」のOSやアプリケーションなどをハニーポットとして利用する。「本物」を使う分、高度な情報を得ることが出来るが侵入されたときのリスクが高い。また、ハイ・インタラクション型ハニーポットと呼ばれる事もある。
低対話型ハニーポット
特定のOSやアプリケーションをエミュレートし監視を行う。エミュレートした範囲に機能が制限されるので高対話型に比べ比較的安全に運用が出来る。只、機能を限定しているので情報量は落ちてしまう。特定用途向けのハニーポット。Honeyd、Spector、GHH("Google Hack" Honeypot)、mwcollectなどがある。また、ロー・インタラクション型ハニーポットと呼ばれる事もある。
仮想ハニーポット
仮想マシン(VMwareやXenなど)で構成されたハニーポット。仮想マシンを用いることで、ホストを侵入前の状態に戻したりなど、リスクを抑えたり管理面で有効な方法である。だが、ボットの種類によっては仮想マシンであるか調べるものがあり、仮想マシンの特徴を調べることでハニーポットで監視していることがバレる可能性もある。
分散型ハニーポット
集中管理するハニーネットとは異なり、遠隔地のハニーポットのデータを集中的に管理分析を行う。
ハニーポットファーム
GRE(General Routing Encapsulation)などで転送された通信を管理されたハニーポットで集め監視する。ハニーネットの様にハニーポット用に管理されたネットワークを用いて、遠隔地の監視を行う。侵入に伴うリスクを集中することができ、複数個所(物理的に遠隔地)にハニーポットを設置することをせずに監視が可能となる。しかし、問題として転送に伴う遅延時間が避けられない。転送による遅延時間によって侵入者にハニーポットファームであるフィンガープリントを与えてしまう可能性がある。
ハニーネットの監視方法
ハニーネットは、ハニーネットプロジェクトで作成されたツールやIDS、パケットキャプチャを組み合わせ実現している。通信の制御と監視が重要となるがFirewallをハニーポット用に設計されたHoneywallでネットワークに流れるトラフィックを制御、監視している。また、ハニーネットで用いられる高対話型ハニーポットにはlkm-rootkitの技術を用いたsebekというツールを用いて侵入者のキーストロークや暗号化される前の通信内容を監視する。
対ハニーポット技術
仮想ハニーポットは、マシンのアーキティクチャ、MACアドレスなどを調べることで仮想マシンで監視しているか調べることが可能である。
注意点
これらハニーポットは、単純にセキュリティを完全に無視してアクセス開放しておけばよいというものではない。もしそのようなコンピュータを放置すれば、内部ネットワークへの橋頭堡として悪用され、場合によっては深刻な実被害を招く要因にしかなりえないためである。また非常に侵入しやすいだけの、中身のないコンピュータでは、クラッカーの興味はすぐさま他に向かってしまうし、何か月も内容に変化がなければ、やはり飽きられてしまうため、適度な内容更新が必要になる。
監視していることが外部に知られてしまうことも致命的である。クラッカーはあっという間に蜜壷を蹴り倒して逃げてしまう。場合によっては、報復的にDoS攻撃を食らう危険性も高いため、監視やログの収集は、ハニーポットのコンピュータとは別にして、こちらは外部からの操作を一切受け付けない(クラッカーからはコンピュータが停止しているように見えるのが望ましい)ように設定しておく必要がある。
関連項目
- コンピュータセキュリティ
- バーチャルマシン
- クラッカー
- 不正アクセス
- ハニーネット
- ハニーポットが一台のおとり用コンピュータを用意するのに対して、ハニーネットは複数のコンピュータで成り立っているおとり用ネットワークを用意する。仮想コンピュータと仮想ネットワークを使い一台のコンピュータ上にハニーネットを構成する事ができる。
- 辞書攻撃
- クラッカーが良く用いる手法である。ハニーポットには、利用者権限に比較的簡単なパスワードを、管理者権限にはもう少し難しい物を設定する事が多い。例えばIDを“dog”でパスワードを“cat”にでも設定して置けば、クラッカーは辞書攻撃でこれらのIDとパスワードの組み合わせを簡単に見付け、まずシステムに悪影響を与えられない利用者権限で接続し、コンピュータ内の一般公開された情報を見て、それらを自由に弄ることを望むようになる。
参考書籍
- 『カッコウはコンピュータに卵を産む』(クリフォード・ストール著・池央耿訳)草思社 ISBN 4-7942-0430-2
- 75セントの不正料金から、ネット上で暗躍するあるハッカーを、一人でつきとめた天文学者が、事件について自ら記した本
- 『スティーリング・ザ・ネットワーク いかにしてネットワークは侵入されるか』(ライアン・ラッセル他共著・増田智一監訳)オーム社 ISBN 4-274-06560-X
- ネットワークへの不正進入のシナリオを、実在するハッカー達が侵入者側の視点で記したフィクション
- 『ハニーネットプロジェクト』(ハニーネットプロジェクト著 園田道夫監訳 (株)ドキュメントシステム訳) ISBN 4-8399-1648-9
- 『Honeypots―ネットワーク・セキュリティのおとりシステム』(ランス・スピッツナー著 小池秀樹・電気通信大学小池研究室セキュリティ研究グループ訳) ISBN 4-7664-1086-6
外部リンク
de:Honeypotes:Honeypoteu:Honeypot fr:Pot de miel it:Honeypot nl:Honeypot pl:Honeypot