ハニーポット(honeypot)とは,ネットワーク上にわざとセキュリティ設定の甘いサーバーやネットワーク機器を設置して攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのことである(図)。
攻撃者やワームに侵入を受けた場合,どんな手口で侵入されたのかわからなければ次の対策を立てられない。そこで,侵入者をわざと自由に行動させておき,行動をつぶさに観察することで侵入手口などを把握しようというのがハニーポットの目的である。簡単に侵入しやすく行動もしやすくすることで,攻撃者にとってはまさに魅力ある「蜜の壺」に見える存在となる。
ハニーポットには商用製品とフリーのツールがあり,大きく二つのタイプに分けられる。一つはWebサーバーやFTPサーバーなどのサーバー・ソフトの動作をエミュレートするタイプで,もう一つはUNIXなどOSの動作をエミュレートするタイプである。いずれのタイプも,攻撃者からは実際のサーバーやOSにアクセスしているように見えるように工夫している。
攻撃者がハニーポットに侵入すると,中でとった行動はすべてログとして記録される。システム・ログやサーバーのアクセス・ログ,ネットワークの通信ログ,キーボードの入力ログなど,さまざまなログを記録できるようになっている。ハニーポットの設置者は,これらのログを分析することにより詳細に侵入者の行動を分析することができる。
ハニーポットを構築するうえで重要なのは,攻撃や侵入をハニーポットの中だけに限定し,ほかのサーバーやネットワークには絶対に影響を与えないようにすることである。攻撃者がハニーポットを踏み台にして,ほかのシステムやネットワークを攻撃できてしまうようでは,何のために導入したのかわからなくなってしまうからだ。
| ||
|
●筆者:星沢 裕二(ほしざわ ゆうじ)氏 セキュアブレインのプリンシパルセキュリティアナリスト。米シマンテックのセキュリティ対策チームで,ウイルス解析の仕事に長年従事していた。2004年10月から現職。 ●イラストレータ:なかがわ みさこ 日経NETWORK誌掲載のイラストを,創刊号以来担当している。ホームページはhttp://creator-m.com/misako/ |