記事一覧

“おとり”? ハニーポットってなに?


 ハニーポットとは、“おとり”として、あえてクラッカーからの攻撃を受けることに価値を持つシステムである。

 “おとり”として脆弱(ぜいじゃく)性を持ち、クラッカーから不正アクセスを受けることによって、マルウェアの検体を入手して、クラッカーの攻撃手法や攻撃傾向を把握したり、クラッカーの攻撃をハニーポットに集中させ重要なシステムから攻撃をそらしたりすることなどが可能になる。

 ハニーポットは、大きく分けて「高対話型ハニーポット」「低対話型ハニーポット」の2種類存在する。

 高対話型ハニーポット(High-interaction honeypot)は、実際に脆弱性を残したOSやアプリケーションを利用するものだ。実際のシステムを利用するため、クラッカーに侵入された後、他の機器等に影響を及ぼさないように注意する必要がある。そのため、運用が難しく、リスクが高い。

 低対話型ハニーポット(Low-interaction honeypot)は、特定のアプリケーションやOSなどのエミュレートを行い、監視を行う。既知で特定の攻撃手法に着目しているため、高対話型に比べて情報量は落ちてしまう。しかし、クラッカーが侵入しても行動がエミュレートした範囲に制限されるため、高対話型と比べて安全に運用することが可能である。

 ハニーポットを運用する際、注意する点を以下に列挙する。

・見かけや動作をなるべく本物に似せる
・ハニーポット自身の存在が明らかにならないようにする
・侵入を検知したら、全ての侵入者の行動記録(ログ)を取る
・ハニーポットが危うくなったとき、ハニーポットに関わる通信を遮断し隔離する

 また、組織内部のネットワークなどで利用することは、法的または倫理的観点から避けた方がよい。

 ハニーポットに関する研究は、世界的には「The Honeynet Project」というコミュニティーが活発に行っている。日本でも、横浜国立大学が「IoTPOT」というIoT(Internet of Things)機器への脅威を観測するためのハニーポットの研究開発が行われている。また情報通信研究機構(NICT)では、組織を模擬した仮想ネットワークを構築してクラッカーを誘い込み、組織内でのクラッカーの挙動を観測する「STARDUST」というシステムの研究開発が行われている。



引用:“おとり”? ハニーポットってなに?



スポンサーサイト