Internet Watch logo
記事検索
イベントレポート
【 2009/06/12 】
ひろゆき氏&夏野氏が講演「日本のネットは決してダメじゃない」
[18:57]
携帯ゲーム機のような見た目のNGN対応回線品質測定器
[14:28]
ISAO、IPデータキャストを利用したサービスイメージを展示
[11:33]
【 2009/06/11 】
アナログ停波後の周波数帯域を利用したマルチメディアサービス
[18:50]
日テレが「ニュース検索API」などを紹介、国内の地上波放送局初
[18:36]
UQ Com田中社長、高速&オープン志向「UQ WiMAX」のメリット語る
[17:45]
主催者企画コーナーでは「ServersMan@iPhone」のデモも
[11:13]
国内初のデジタルサイネージ展示会、裸眼で見られる3D映像など
[11:12]
【 2009/06/10 】
CO2排出量が都内最多の地域、東大工学部のグリーンプロジェクト
[20:01]
IPv4アドレス枯渇で「Google マップ」が“虫食い”に!?
[19:29]
UQ Com、7月の有料サービス開始に向けて「UQ WiMAX」をアピール
[19:20]
「Interop Tokyo 2009」展示会が開幕、今年はひろゆき氏の講演も
[14:53]

ハニーポットはネットワーク監視技術として有用〜エネルギアの濱本氏


 東京ビッグサイトで開催された「Network Security Forum 2003」で24日、エネルギア・コミュニケーションズのネットワークセキュリティコンサルタントである濱本常義氏が、「ネットワーク監視技術としてのハニーポットについて」と題して講演。「日経ネットワークセキュリティ」誌と協力して取り組んだハニーポットの運用実験の報告を行なった。


“甘いエサ”で攻撃者をおびき寄せるハニーポット

エネルギア・コミュニケーションズソリューション事業部ネットワークセキュリティコンサルタントの濱本常義氏
 ハニーポットとは、その名の通り、脆弱性などの“甘いエサ”を用意することで攻撃者をおびき寄せる“おとりサーバー”のこと。ECサイトなどの重要なサーバーと併設して不正アクセスを早期検知したり、犯罪の証拠保全用、大学やセキュリティベンダーが攻撃者の手口を調査・研究するなどの目的で設置・運用されているという。

 ハニーポットの研究プロジェクトとしては「The Honeynet Project」が有名で、商用製品としても米Symantecの「DecoyServer」やスイスNetwork Security社の「Spector」がある。また、今回のフォーラムを主催するJNSAでも「ハニーポットWG」を準備中で、今年度末にも成果発表が見込まれるという。


ハニーポットには踏み台になるリスクも

濱本氏が構築したバーチャルハニーポットの構成。ハニーポットサーバーとともに、ログサーバーもゲストOSで立ち上がっている
 ハニーポットを構成する技術は、サーバーの運用・管理にはじまり、ネットワークベースおよびホストベースの不正アクセス監視やアクセス制御など多岐に渡り、「最新のセキュリティ技術をすべてを導入しないと構築できない」。そこで濱本氏は、セキュリティ技術の勉強もかねて4月ごろからこつこつと構築しはじめたという。

 濱本氏が構築したのは、Honeynet Projectを参考にしたというバーチャルハニーポットで、VMware 4.0上のゲストOSとして稼働する。ゲストOSはRedHat Linux 7.2をインストールしたままのデフォルト状態となっており、Webやftp、ssh、dns、telnetなどのサービスを立ち上げた。また、パッチは一切当てず、管理者および一般ユーザーのIDとパスワードも脆弱なものを設定した。

 ただし濱本氏は、「単にデフォルト状態のサーバーを立ち上げればいいというものではない」として、「外向きのトラフィック制御が重要」と強調する。これは、踏み台となって他者に迷惑をかけるリスクをハニーポットが持っているためだ。できればSnortの署名で踏み台の攻撃を無効化するのが理想であるものの、「とりあえず怖いのはワームとDoS攻撃」だとして、外向きトラフィックに対して“しきい値”を設定。その値を超えた大量のトラフィックが発生した場合に、これを踏み台とみなして外向きのトラフィックを遮断する方法をとった。

 なお、VMwareを使ったバーチャルハニーポットのメリットとして濱本氏は、「VMwareのゲストOSはディレクトリ単位になっているので、侵入された状態のOSをまるごとコピーできる」という点を挙げた。「証拠保全のために簡単で便利」だとしている。


記憶に残る“お客様”はルーマニアから?

 濱本氏が7月1日から8月31日までインターネット上に設置・運用したハニーポットに、“お客様”が訪れたのは8月20日の夜のことだった。「その日に限ってIRチャットのパケットがすごい勢いで流れている」ことで異常に気が付いたという。

 ログなどの解析から、お客様はまず、sshの脆弱性を利用して侵入し、ルート権限を奪取。各種ツールなどをインストールした後、バックドアから接続し、あとはひたすらIRCを立ち上げて朝までチャットを楽しんでいたという。「sshへの初弾からルート権限取得まで1分とかかっていない。多分、何らかのツールを使ったか、手動でやったとすれば手慣れた人だ」と指摘している。

 このほか、コマンド履歴などから、この“お客様”はルーマニアのISPから来たらしいこともわかった。また、インストールされたツールのファイル名をgoogleで検索してみたところ、韓国のBBSに「ルーマニアのハッカーが使っている」という内容の書き込みがあるのも発見したという。


“お客様”が残したファイル類 “お客様”のログ。sshへの攻撃は既知のツールを使ったものではないという

ハニーポット運用の課題

 実際にハニーポットを設置した結果から濱本氏は、「運用が難しいのは、普通に設置していても意外に攻撃を受けないこと」と指摘する。実際、前述の“お客様”は2日目以降は「もう来ていただけなかった」。また、調査系やBlasterに起因するアクセスは多かったものの、2カ月を通じて「実際にお客様が来たのは3、4回。それも公序良俗に反するファイルを置くなどの細かいもので、つまらないのですぐに切断した」。また、わざと脆弱なIDとパスワードを設定しても、破られたのは1回のみで、それもMP3ファイルを置かれただけだったという。濱本氏は、「よりお客様に来ていただく仕組みも必要」と述べた。

 さらに、「VMwareも高度化してくると、脆弱性も出てくる」として、ゲストOSで稼働するハニーポットがホストOSに対して本当に安全かどうかという懸念もあるという。また、米国では裁判の証拠用に設置された例もあるというハニーポットだが、これを運用するのは違法とする判断もあるとしており、現在の法律ではおとり捜査に使うのは難しいということも付け加えた。

 とはいえ濱本氏は、「ハニーポットの構築にともなう技術は、ハニーポットを運用するだけでなく、純粋な不正アクセス監視やネットワーク監視に転用可能」であり、「不正アクセスの原因究明にも非常に有効」だと説明。ハニーポット関連技術の有用性を指摘した。


関連情報

URL
  Network Security Forum 2003
  http://www.jnsa.org/nsf2003/
  The Honynet Project(英文)
  http://www.honeynet.org/
  JNSAハニーポットWG
  http://www.jnsa.org/active2003_29.html
  関連記事:ISSが自前のおとりサーバーへの攻撃によってハッカーの情報収集に成功
  http://internet.watch.impress.co.jp/www/article/2003/0508/iss.htm


( 永沢 茂 )
2003/10/24 20:58

- ページの先頭へ-

Internet Watch ホームページ
Copyright (c) 2003 Impress Corporation All rights reserved.