ITmedia エンタープライズ

ニュース
2004/02/21 12:06:00 更新

ラック、より有用な情報を目指し「ハニーポットの輪」を呼びかけ

セキュリティ企業のラックは、同社のハニーポットシステム「Sombria」を用いて計測した攻撃動向のレポートを公開。同時に、ハニーポットを設置し、情報交換を行う組織を国内外を問わず募集している。

　セキュリティ企業のラックは2月20日、同社が独自に開発したハニーポットシステム「Sombria」を用いて収集した情報をまとめ、公開した。

　同社がこういった形でレポートを公開するのは、これが2度目だ。今回のレポートでは、2003年8月から10月にかけての3カ月間に得られた情報を元に、侵入手法の傾向とそのシナリオについて解説している。また、特に顕著だったルーマニア人からのハッキングを元にした「ケーススタディ」も紹介されている。

　この間、Sombriaに対して行われた侵入行為は265回に上った。その際に最も多く狙われたのはOpenSSL/Apacheの脆弱性で、40％を占めるに至ったという。次いでSSH、Sambaの脆弱性がターゲットにされた。

　ちなみにこの期間は、Windows RPCのセキュリティホールを狙ったワーム「MSBlast（Blaster）」が猛威を振るった時期とも重なる。Sombriaでも同ワームによる多数の攻撃――少なくとも1日に2000回――を記録した。しかも残念なことに、10月末までの間に攻撃の減少は見られないという。このことから、いまだに自分のマシンがMSBlastに感染したことに気付かないままのユーザーが多数存在していることが伺える。

攻撃発生と攻撃結果の「不確実性」を測る

　ラックはこのレポートの最後で、「ハニーポット交換プログラム」への参加を呼びかけている。

　同社が運用しているSombriaは、Webサーバとファイアウォール、IDS（不正侵入検知システム）から構成されているハニーポットシステムだ。システムへの侵入・攻撃を仕掛けてくる攻撃者の手口を、それと知られずに把握、観察することにより、その後の対策に役立てることを目的に設けられる「おとり」システムである。

　1台のハニーポットだけでも、侵入者がどんな手段を用いて侵入を試み、その後どういった活動を行うかという一連の動きを把握することはできる。しかし、さまざまな環境や構成のハニーポットを配置することにより、単独では把握しがたい攻撃の頻度と結果について、より有用な情報を得ることができるという。それが、ハニーポット交換プログラムの狙いだ。

　たとえば、検出された攻撃はワームによるものなのか、それとも攻撃者が手動でツールを用いて仕掛けているのか。はたまたWebサイトにCGIが設置されていた場合、これに対する攻撃を試みる攻撃者はどのくらいいて、そのときどんな手法を用いるのか――多様なハニーポットがあれば、こういったさまざまな侵入の試みを把握し、傾向をつかむことができるという。

　侵入後のアクティビティについても同様だ。侵入者はその後、踏み台化して外部への攻撃を仕掛けるのか、重要な情報を持ち出そうとさらなる侵入を試みるのか、それとも侵入の成功に満足して去っていくだけのか。侵入者の足取りを深く把握できるハニーポットを活用し、そこで得られた結果を持ち寄ることによって、どのくらいの確率でどういった結果が生じるかを見出すことが可能になる。

　つまり、さまざまなハニーポットで計測した結果を総合的に検討することで、攻撃頻度や攻撃発生、攻撃結果にまつわる不確実性を減らすことができる、というわけだ。

　ラックコンピュータセキュリティ研究所の新井悠氏は、「ハニーポットには多様性が必要。SMTPサーバから電子商取引サイト、あるいは個人のBlogまで、さまざまな構成のハニーポットを作り上げることで、攻撃の頻度と結果を多岐にわたらせ、セキュリティ対策の効果を本質的に測ることになる、有用な情報を得ることができる」とメールでの質問に答えている。

　またハニーポットにセキュリティ対策ソフトウェアを組み合わせ、一種の「テスト運用」を行うことにより、これまでなかなか目に見えにくかったセキュリティの投資対効果を測る役にも立つ、という。

　ラックではこういった意図から、Sombriaをインターネットセグメントに設置してくれる組織を国内外問わず募集している。既にある台湾の組織がSombriaハニーポットを設置し、観測を開始したほか、いくつかの国からオファーが届いているということだ。同社ではこれを国内外で協調したプロジェクトとして発展させ、得られた成果を積極的に発信していきたいとしている。

関連記事
Honeynet Projectのスピッツナー氏が語るハニーポットにしかできない「情報収集」
ラックのハニーポットが残した不正侵入の記録、「既知の手口」が大半

関連リンク
ラック

[高橋睦美，ITmedia]

Copyright © ITmedia, Inc. All Rights Reserved.