ハニーポットとは,“甘いエサ”を置いておき,攻撃者をおびき寄せるシステムのことである。正規のシステムへの攻撃を防ぐ“おとり”として使ったり,攻撃者の手口を調査・研究する目的で利用する。本稿では,ハニーポットを構築するうえで知っておくべき基礎知識をまとめる。

 2003年1月25日午後2時半頃,インターネットの一部の動きが停止した。MicrosoftのSQL Server2000やMSDE( Microsoft Data Engine)2000に感染するワーム「W32/SQLSlammer(以下,Slamer)」が猛威を奮ったのが原因だ。

 このほか,無防備なWebサーバーが書き換えられたり,個人情報が流出したりと,2002年も相変わらずセキュリティ事件が多かった。ただ,被害的には小粒なものが多く,「絶対に起こる」と言われていたサイバーテロもついぞ起こらなかった。

 このためか,サイバー・ワールドはCodeRed,Nimda以降,平穏を取り戻しつつあるかに見えた。そんな状況でやって来たのがSlammerだ。前向きに考えれば,Slammerはセキュリティ対策の大切さを,サイバー・ワールドの住人に再び認識させたのだろう。

 Slammerのことはさておき,話を本題に移す。

 本稿では,ハニーポット/ハニーネットを取り上げる。ハニーポットとは,直訳すると「はちみつ入りの壺(honey pot)」である。セキュリティ業界では,攻撃者がよだれをたらして喜びそうなエサをあらかじめ用意し,攻撃を受けることを前提にした甘い罠を指す。

 そして,ハニーネットはシステムとして構築されたハニーポットだ。単体のものをハニーポットと呼び,いろいろなシステムを組み合わせてハニーポットを作る場合や,より攻撃者の自由度を高くしたようなシステムの場合にハニーネットと呼ぶ。が,本稿では用語の混乱を避けるために,ハニーポットは広義の意味でのハニーネットも含むものとする。

 残念ながら,ハニーポットの認知度はまだ低い(本誌をご覧になっている方なら言葉ぐらいはご存知だと思われるが...)。googleなどの検索エンジンで「ハニーポット」をキーワードに検索しても,ディズニーの熊のプーさんに関する話題の方が数多く引っかかる。日常の会話でも,「ハリーポッター」と間違われる場合がある(実話)。

 一般に,攻撃を検出するためには不正侵入検知ツール(IDS)を使うが,IDSでは常に誤検知が問題になる。これに対して,ハニーポットは主に“おとり”として使えることから,正規のシステムが攻撃される危険性を減らし,かつ攻撃が開始されたという合図を得ることもできる。つまり,IDSが絶えず抱える誤検知というものが,そもそも存在しない。なぜなら,ハニーポットは攻撃されることを前提にしているため,本当に受けた攻撃を検知できるからだ。このことから,ハニーポットは誤検知を気にする必要のない唯一の不正アクセス監視システムと言ってよいだろう。

 このように,ハニーポットはセキュリティ対策上,コストパフォーマンスの高い効果がある。また,ハニーポットを構築すれば,攻撃者の手口を調査し,新たな攻撃に対して効果的に対処するためのシステム,およびノウハウを取得できる。そういったメリットもある。

 本稿では,ハニーポットを構築するうえで知っておくべき基礎知識をまとめるとともに,ハニーポットのシステム例を紹介する。

ハニーポットの目的・用途

 ハニーポットには,いくつかの目的や用途がある。大別すると,以下の二つになるだろう。一つはおとりとしてのハニーポット。もう一つは研究用途としてのハニーポットだ。

(1)おとりとしてのハニーポット
 これは,重要なサーバーや狙われやすい組織など,絶えず攻撃を受ける可能性が高い環境のセキュリティ・レベルを高めるために利用する。ハニーポットを設置することで,正規のシステムを狙われにくくするのだ。

 この場合,商用製品や専門監視スタッフによるカスタムメイドのハニーポット・システムを利用する場合が多い。ハニーポットをおとりとして利用する場合は,IDSの誤検知を補完し,はっきりとした侵入の予兆を検知するのを目的とする。このため,設置・運用が簡単な商用版が使われるようだ。商用製品としては,米Symantec社(http://www.symantec.co.jp/)の「ManTrap」やスイスNetwork Security社(http://www.specter.com/)の「Spector」などがある。

 ManTrapの最新バージョンは3.0である。これはSolarisを高度にエミュレートするハニーポットで,元々Recourse Technologies社が開発・販売してしていた。Symantec社が2002年7月にRecourse Technologies社を買収したため,現在はSymantec社がサポートしている。もちろん日本でも販売している。ただし,残念ながらマニュアルなどは英語のままだ。

(2004年4月注記:現在では「ManTrap」の商品名は「Symantec Decoy Server」http://www.symantec.co.jp/region/jp/products/decoy/index.html に変更されている。現時点でのSymantec Decoy Serverの最新バージョンは3.1)

 一方のSpecterの最新バージョンは6.0である。Windows,Mac OS,UNIX系OSなど,多数のOSをエミュレートできる。ただし,Windows上でアプリケーション・レベルで稼働することから,スタック・フィンガープリントなどの技法を使われると,ハニーポットだということが容易に判明してしまう。また,この製品を日本で扱っている会社も存在しない(少なくとも筆者は確認できなかった)。

(2004年4月注記:現時点での「Spector」の最新バージョンは7.0である http://www.specter.com/default50.htm

図1●おとりとしてのハニーポット
図2●研究用途としてのハニーポット

 設置する場合は,図1[拡大表示]の構成を採り,文字通り重要サーバーのおとりとなる。多くの機能は,攻撃を検知し,重要なサーバーやネットワークへの侵入を防止し,攻撃者の意図や攻撃パターンを記録するなどに主眼が置かれている。裁判所などに提出する場合を想定すると,ログを署名付きで保存する証拠保全の機能にも優れる。

(2)研究用途としてのハニーポット
 これは,ネットワーク・セキュリティの最新テクニックを収集・研究することを目的として設置される。

 インターネット上で他人のサーバーに対して侵入行為を繰り返す者や集団を「Blackhat」という。これに対して,防御側の技術者や研究者は「Whitehat」と呼ばれる。このネーミングは,白黒テレビ時代の西部劇で,分かりやすいように悪役が黒い帽子をかぶり,主人公であるヒーローが白い帽子をかぶっていたことに由来する。

 研究用途のハニーポットは,侵入行為を繰り返すBlackhat達を観察し,その行動パターンやテクニックなどを収集し,新たな防御手段や検知手段を研究するのが目的だ(図2[拡大表示])。ただし,Blackhatに悟られないように,より自然な形でハニーポットを運用することが要求されるため,運用は慎重に行わなければならない。

 このタイプのハニーポットは,プロジェクトとして研究者が設置する場合が多い。世界でもいくつかのプロジェクトが存在するが,最も有名なプロジェクトは「The Honeynet Project(http://www.honeynet.org/)」だろう。

 研究用途のハニーポットは,直接的な防御策としては使われない。しかし,収集した情報から,その組織のサーバーやネットワークを強固にすることができる。ここに存在価値がある。

濱本 常義(Hamamoto Tsuneyoshi)

筆者は株式会社エネルギア・コミュニケーションズに勤務。ソリューション事業部で,セキュリティ対策関連事業に従事している。現在は,主にセキュリティ・ポリシー策定事業に携わっている。常時接続とセキュリティ関連のメーリング・リスト「connect24h」(http://cn24h.hawkeye.ac/)を運営している。