| エンタープライズ:ニュース | 2003/11/07 21:59:00 更新 |
Honeynet Projectのスピッツナー氏が語るハニーポットにしかできない「情報収集」
11月6日から行われているセキュリティテクニカルセミナー「PacSec.jp」にHoneynet Projectのランス・スピッツナー氏が登場し、ハニーポット技術の意義と今後について語った。
今セキュリティ技術者の間では、不正アクセスを検出し、その手口を把握するための手法として「ハニーポット」が注目を集め始めている。
ハニーポットとは、端的に言ってしまえば侵入者を欺くための「おとりサーバ」だ。攻撃者に対しては、あたかも普通に動いており、手ごろなセキュリティホールが残っているホストのように見せかけながら、いざ攻撃・侵入を仕掛けるとその挙動を監視できるような仕組みである。
このハニーポットを構築するためのツールは、既にオープンソース、商用製品の両方が提供されており、自力で、あるいは組織として運用しているところも増えてきた。中でも最も古くから存在し、著名な取り組みがHoneynet Projectだろう。同プロジェクトを率いるランス・スピッツナー氏が、11月6日から行われているセキュリティテクニカルセミナー「PacSec.jp」に登場し、ハニーポットの持つ意義と今後の方向性について語った。
高い価値の情報を見つけ出す
「限られたスキルしか持たない攻撃者でさえ、自動化されたツールを用いて侵入し、クレジットカード番号などの重要な情報を盗み出すことができてしまっている。これが今のネットワークの現状だ」――スピッツナー氏は、Honeynet Projectを通じて捕捉した攻撃者が、さまざまなコマンドを打ち込み、IRCを通じて情報を交換する様子を紹介しながら、攻撃者側が「主導権」を持ってしまっているという問題点を指摘した。
ちなみに同氏が観察したところによると、最も多いのはルーマニアをはじめとする東欧からの攻撃。次いで韓国からの不正アクセスも多いという。しかも彼らはそれほどじっくり滞在するわけではなく、ものの15分ほどで目的を達成しては、またすぐ次のターゲットへと移っていくという。
「今や、企業だけでなく誰もが脅威にさらされている。それに対抗し、攻撃者に対し主導権を握っていくためのツールがハニーポットだ。彼らが接触してきたときこそ、まさにわれわれの思う壺ということになる」(スピッツナー氏)。
同氏によるとハニーポットは柔軟性が高く、さまざまな形で利用できるが、中でも大きな役割は、攻撃そのものを検出すること。もう1つは、攻撃にまつわるさまざまな情報を収集することだ。
不正アクセスに関する情報収集は、今や米国防総省をはじめさまざまな主体が行っている。しかし問題は、あまりに多くのデータが収集されるため、かえって分析が困難になっていることだ。これに対しハニーポットの場合、収集できる情報量そのものは多くないにせよ、価値の高い――ノイズの少ないデータを収集できる。「そもそも、何の役にも立たないシステムに誰かがアクセスしてくる時点で、何か異常なことが起きているのだと分かる」(スピッツナー氏)。
無論、ハニーポットは、セキュリティに関する「ソリューション」ではない。詳しい観察は可能なものの、顕微鏡のように監視範囲は限られているし、あえて攻撃者を受け入れることから設置者側にある程度リスクが生じることも事実だ。しかしスピッツナー氏は、ハニーポットは、「ワラの山の中にある針を少ない手間で探すことができる」ツールだと表現し、その有用性を強調した。
「タール型」ハニーポットも?
スピッツナー氏によると、現行のハニーポットは大きく2種類に分けられるという。1つは、OSや各種サービスの動きをエミュレートする「低インタラクション」タイプで、オープンソースの「Honeyd」などがその代表例だ。
このタイプのハニーポットは、導入しやすく、運用する側にとってのリスクも小さい。例えばHoneydは、ネットワーク内の利用されていないIPアドレスを監視し、それらアドレスに対する接続が試みられると、仮想的なホストを装って攻撃者に返答を返す。比較的広い範囲を監視し、既知の手口を利用した不正アクセスを検出するのに有効だ。既存の不正アクセス検出技術では、あまりに多くのアラートが発生し、しかもその大半が「誤検知」であるという問題があるが、このタイプのハニーポットならば低コストで、比較的正確に侵入の試みを見つけ出すことが可能だ。
一方、「高インタラクション」タイプのハニーポットでは、OSそのものに対する完全なアクセスを許す。リスクは高まるが、その分得られる情報も奥深いものとなる。攻撃者がどんな行動を取ったのか、入力したコマンドやキーストロークまでが把握可能といい、「私自身が研究に携わっている理由もこちらにある」とスピッツナー氏は言う。
同氏が進めている「第2世代Honeynet」も、この高インタラクション型だ。このアーキテクチャでは、実運用システムとハニーポットのエリアは、ブリッジを用いてレイヤ2レベルで隔離される。外からハニーポット側に向けたトラフィックは素通りさせながら、逆にハニーポット側から外に向けたトラフィックは、インラインのIDP(Snort)を用いて無害化する仕組みだ。こうして「攻撃者の行動を封じ込めながら、彼らがいったい何をしているのかを把握する」(スピッツナー氏)。
実際にハニーポットにやってきたある侵入者の例では、暗号化通信経由で、電子メールアドレス収集用のツールをハニーポット内に仕込もうと試みたという。しかも「その際用いられたのは、TCPでもUDPでも、ICMPでもなかった。彼はIPプロトコル11番を用いて、暗号化してツールを持ち込もうとしていた」(スピッツナー氏)。こうした手法での侵入は、一般的な手法で検出するのは非常に困難という。
「ハニーポットを用いれば、他のツールでは収集できないような、悪意あるユーザーに関する有効な情報を得ることができる」(同氏)。
同氏はまた、今後のハニーポットの発展の方向性にも触れた。半年以内の計画として「タール型」ハニーポットがあるという。これは、例えばワームなどが入り込んできた場合に、ねばねばとその動きを絡めとり、外部に危害を及ぼさないようにする機能を加えたものという。他にも、スパマーを捕捉し、その情報をRealtime Blackhole List(RBL)にアップロードする機能やパッシブ・フィンガープリンティング機能などが考えられている。さらには、OSやサービスだけでなく「データベース中のレコードやファイルサーバ中のドキュメントのように、PC以外の“ハニーポット”も考えられる」と同氏は述べている。
「ハニーポットはまだ始まったばかりで、ちょうど10年前のファイアウォールのような状態にある。これからもどんどん進化していくだろう」(同氏)。
関連記事
“甘味”を増すハニーポット、誰でも導入可能にHoneynet Project,さらに甘い罠でハッカーをおびき寄せる関連リンク
PacSec.jp[高橋睦美,ITmedia]
