「ハニーポット」という言葉を聞いたことはありますか?

検索すると、喫茶店のメニューや、とある有名キャラクターについての情報が表示されることも。

しかし本記事で紹介する「ハニーポット」は、ITセキュリティの技術発展には欠かせない、重要なセキュリティシステムのことです。

セキュリティ担当者の方、または自分でWebサイトやWebサービスを管理している方は、ぜひご覧ください。

ハニーポットとは

honeypot

ハニーポットは直訳すると「はちみつの壺」です。そこから転じて「おとり」や「罠」のことを表すようになりました。

ITセキュリティにおける「ハニーポット」とは、「サイバー犯罪者の攻撃をおびきよせるために使うおとり」という意味です。

ハニーポットを設置する目的は大きく分けて2つあります。

  • サイバー犯罪者の挙動を観察すること
  • 重要な資産からサイバー犯罪者の目をそらさせること

ハニーポットの3つの種類

ハニーポットは、以下の3つに分類されます。

  • 低対話型ハニーポット
  • 高対話型ハニーポット
  • 仮想型ハニーポット

それぞれにメリットとデメリットがあるので、順番に解説していきましょう。

低対話型

高対話型

仮想型

特徴

特定の目的や攻撃手法に特化

複雑で高機能

仮想マシンを使用

メリット

低リスクな運用が可能

得られる情報量が多い

侵入前の状態に復元可能

デメリット

得られる情報が少ない

構築、保守運用が大変

仮想マシンだと見破られる可能性がある

1. 低対話型ハニーポット

特定の目的・攻撃手法に特化したものが低対話型ハニーポット。

構築や保守の手間が比較的少なく、個人で立ち上げることも可能なのが特徴です。もしサイバー犯罪の被害があったとしても、影響範囲が限られるため低リスクの運用できます。その反面、得られる情報が少ない点がデメリットです。

また低対話型は、サーバーやソフトの動作を真似(エミュレート)して監視する製品が一般的です。

2. 高対話型ハニーポット

サイバー犯罪に関する情報を大量に手に入れられるのが高対話型ハニーポット。反面、複雑な製品が多く、構築の手間も保守運用のコストもかかります。

高対話型では、わざと脆弱性を残したままで実際のOSやソフトウェアを使う場合が多く、運用には高度な知識や技術が求められます。

3. 仮想型ハニーポット

仮想型ハニーポットはその名の通り、仮想ハードウェアを使ったハニーポットを指します。外部リソースを使用して設置できるため、既存のネットワーク環境に影響を与えずに設置できることがメリットです。

ただし、サイバー犯罪者側にも仮想環境だと見破られてしまう可能性があります。

ハニーポットのメリット

ハニーポットを導入するメリットは2つあります。

  • セキュリティ対策のための情報が得られる
  • セキュリティ対策が簡単に始められる

1.セキュリティ対策のための情報が得られる

ハニーポットを設置すると、侵入してきたサイバー犯罪者の挙動を観察できます。

侵入者がどのタイミングでどのような攻撃を仕掛けてくるかなどの情報が得られ、対策を立てることが可能です。

2.セキュリティ対策が簡単に始められる

低対話型や仮想型のハニーポットであれば、本システムと分けて設置できます。

そのため導入までのハードルが低く、保守運用も比較的容易です。

ハニーポットのデメリット

一方、ハニーポットにもデメリットがあります。それは以下の3点です。

  • 外部に被害が及ぶおそれがある
  • 攻撃側に利用されるおそれがある
  • 保守運用のコストがかかる

1.  外部に被害が及ぶおそれがある

万が一サイバー犯罪者に侵入された場合、攻撃方法によってはハニーポットだけでなく他のシステムやサーバーに被害が及ぶことがあります。

導入する際は影響範囲まで考えて設置しましょう。

2. 逆に攻撃側に利用されるおそれがある

設置したハニーポットのクオリティが低いと、攻撃方法を研究する練習の場として利用されたり、乗っ取られたりして、気づかないうちに犯罪の片棒を担がされてしまっていた……なんてことも。

3. 保守運用に手間がかかる

ハニーポットは実際のソフトウェアやサーバーに似せた動きをして、サイバー犯罪者をおびきよせるものです。そのため、本物のシステム同様こまめに更新しないと、さほど重要な資産ではないとみなされ攻撃対象から外されたり、容易におとりだとバレてしまったります。これではハニーポットの役割は果たせません。

また、特に高対話型のハニーポットの場合は保守運用にも高いスキルが求められます。安易に導入してしまうとハニーポット保守運用に時間をさかなければならず、本来やるべきだった仕事がおろそかになってしまうかもしれません。

ハニーポットの構築

ハニーポット 構築

以下で個人でも構築しやすい低対話型を中心に、ハニーポットの選び方から構築方法までを概説します。

低対話型のハニーポットは主に以下の2パターンに分かれます。

  • サーバーやソフトウェアをエミュレートするもの
  • OSをエミュレートするもの

代表的な低対話型ハニーポット4選

低対話型のハニーポットは、アクセスを集めるもの、WEBサイトへの攻撃を集めるものなどがあります。得たい情報の種類や攻撃手法に応じて選びましょう。

代表的なハニーポットとして、以下の4つをご紹介します。

  • Cowrie
  • Dionaea
  • KFsensor
  • WOWHoneypot

1. Cowrie

中規模のSSH/とTelnetハニーポット。

ブルートフォース攻撃やシェルの挙動を記録するように設計されています。

Cowrie

2. Dionaea

脆弱性があるようにみせかけたサービスを展開することで、マルウェアを収集するハニーポット。

外部APIを活用すれば、解析の幅も広がります。環境構築も比較的簡単なので、初心者にもおすすめです。

Dionaea

3. KFsensor

Linux環境で動作するハニーポットが多い中、Windows環境で動作する珍しいハニーポット。

コマンドではなくGUIで管理ツールを動かせるのが特徴です。

KFsensor

4. WOWHoneypot

「ハニーポット観察記録」管理人の作ったハニーポット。

日本語のドキュメントが用意されているため、設置が簡単です。

WOWHoneypot

ハニーポットの詰め合わせ「T-POT」

他にも、ハニーポットにはさまざまな種類があります。「なかなか選べない」という方は、複数のハニーポットがパッケージになった『T-POT』を検討しましょう。

先述したCowrieやDionaeaなども含まれており、いろいろ試してみたい方にもおすすめです。ただし、十分なメモリとストレージの空き容量を確保する必要があります。

T-POT

ハニーポットを構築する前に気をつけるべき2つのこと

ハニーポットを選定したら、いよいよ構築の段階に入ります。その前に「ネットワーク」「ハードウェア」について検討しておきましょう。

コストを抑えつつ、自身のネットワーク環境を危険に晒さないために、それぞれについておすすめの方法を紹介します。

1. ネットワーク環境について

他者からハニーポットを攻撃してもらうためには、外部に繋がっているネットワーク環境にハニーポットを設置する必要があります。自宅の無線LANは外部に開かれていないため、ハニーポットを設置しても効果を発揮できません。

自宅の無線LANをそのまま用いてハニーポットを有効にするには、特定のポートに届いた通信を自宅の無線LANで使用しているポートに転送する方法があります。

ただし、この方法で注意すべき点は、攻撃された場合にハニーポット以外にも影響が及ぶおそれがあることです。可能であればルータを2台用意し、通常使用するネットワークとハニーポット用のネットワークを分ける方法が望ましいでしょう。少々コストがかかることと、設定がやや煩雑なのがネックですが、万が一の事態に備えられます。

2. ハードウェアについて

ハニーポット用にハードウェアを用意する場合、3通りの選択肢があります。

  • 【余っているPCを使用する方法】
    ハニーポット専用PCを用意することで簡単に管理でき、コストを抑えられます。
  • 【いま使用しているPCで仮想環境を立ち上げる方法】
    余っているPCがない場合におすすめなのが、仮想環境を立ち上げる方法です。新たにPCを用意する必要がなく、PC購入のコストがかかりません。ただし、代わりに使用しているPCのパフォーマンスが落ちるのが難点です。
  • 【レンタルサーバーを契約する方法】
    上記の2つが難しければ、コストはかかりますが外部サーバーを利用しましょう。ただし、設置するハニーポットや契約するサーバーによってはかなり高額になる可能性があるので、十分な検討が必要です。

構築と解析

設置するハニーポットによって、その方法はさまざまです。

ここではその参考となる記事を一部ご紹介します。

解析方法については、手に入れたデータをエクセル等で管理・分析するのが一般的です。
なお最新バージョンのT-POTでは、管理画面からCSVデータをダウンロードできます。

まとめ

ハニーポットを設置することでサイバー攻撃を可視化し、大切な資産を守れます。一方で安易に設置すると、不正ファイルの置き場所として利用されたり、報復攻撃を受けたりする可能性もあります。

企業がハニーポット導入を考える目安として、以下5点のいずれかに当てはまる場合は導入を検討しましょう。

  • 保守運用のコストを十分に割ける
  • 万が一サイバー犯罪者に攻撃された場合に十分な対策ができる
  • 重要な資産がある
  • セキュリティ関連の研究を進めたい
  • 社内での不正行為が疑われる

個人でのハニーポット設置は、決して楽とはいえませんが、低対話型ハニーポットであればコストや運用の手間を抑えられ、個人での導入も可能です。

なお近年のサイバーセキュリティ技術の進歩には、研究機関によるハニーポットの研究開発が大きく貢献しています。世界的な研究機関としてはThe Honeypod Projectがあり、日本でも横浜国立大学が「IoTPOT」というプロジェクトを進めています。ハニーポットの技術交流会も行われていますので、興味を抱いた方は参加してみてはいかがでしょうか。

SHARE

RELATED

  • お問い合わせ
  • お問い合わせ
  • お問い合わせ