ハニーポット
■毎日更新無料動画!
■未公開流出画像満載
[Wikipedia|▼Menu]

ハニーポット (Honeypot) はもともと"蜜(の詰まった)壷"の意味。転じてコンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目を逸らさせたり、コンピュータ フォレンジックスを行うための証拠を集めたりする、一種の囮(おとり)手法に使われる。(手法そのものをハニーポットと呼ぶこともある。)
目次

1 概要

2 技術的手法

3 種類

3.1 高対話型ハニーポット

3.2 低対話型ハニーポット

3.3 仮想ハニーポット

3.4 分散型ハニーポット

3.5 ハニーポットファーム


4 ハニーネットの監視方法

5 対ハニーポット技術

6 注意点

7 関連項目

8 参考書籍

9 外部リンク

//


概要

ハニーポットは囮のために設置するので正規の通信が発生しないという特徴がある。これは、記録に残るアクセスはすべて不正アクセスとなるので、誤検知を減らし検知洩れを無くすことができる。 ハニーポットの目的として、ウイルスワームの検体の入手、不正アクセスを行うクラッカーをおびき寄せ重要なシステムから攻撃を逸らしたり、記録された操作ログ・通信ログなどから不正アクセスの手法と傾向の調査を行うなど挙げられる。


技術的手法

ハニーポットの初期の事例として、天文学者クリフォード・ストールの著書『カッコウはコンピュータに卵を産む』にある「SDIネット」が挙げられる。1987年ローレンス・バークレー国立研究所のシステム管理者であったストールは、同所のコンピュータを踏み台にして軍事施設のデータベースを漁っていた侵入者の正体を調べるために、「SDIネット」と名付けたいかにもSDI(戦略防衛構想)の資料を扱っていそうな偽のデータベースを作り上げた。これに侵入者が没頭している間にその居場所を捜査当局に逆探知させることに成功したのである。後の調査で侵入者は入手した情報をKGBに売り渡していたことが判り、世界的なニュースとなった。

一般的なハニーポットの技術は、オペレーティングシステム (OS) やアプリケーション脆弱性を残した攻撃を受ける部分と受けた攻撃によって外部への踏み台とならないように通信をコントロールする技術、攻撃者の不正アクセスによって変更された点の検出から成り立つ。また、ハニーポットとは別に通信ログをとることも重要である。

CPUやネットワークリソースを提供してくれるコンピュータはクラッカーにとって恰好の玩具となるため、内部の資源や情報を得ようと攻撃を行う。しかしそのコンピュータに、予め少々意地の悪い仕掛けを施しておき、特定のホストからの通信が集中すると「メンテナンスのため、あと10分でシャットダウンします」というメッセージを出して、通信をしばらく締め出してしまったり、(架空の)ユーザーが多数利用しているように見せ掛けて、極端に反応速度を落としたりする(なお、これらと同時に、外部に気付かれない形で、通信ログを取り続けている)。こうすると、クラッカーは余計に中身が気になって、後はもうこのサーバの中身を見ることだけに熱中することになる。

また、メール第三者中継を許可する設定に見せ掛けるのもよいだろう。実際にはログを出力するだけにしておいて、第三者中継を許可するように見せかけておけば、スパム送信者が興味深い足跡を残すこともあるし、すべて架空のメールアドレス宛てに設定したメーリングリストを用意しておけば、それ宛にもスパムメールを送ろうとするはずだ。

なお、これらの機能をまとめて提供するソフトウェア製品も多数販売されている。


種類

ハニーポットは、目的に応じて設計されるので目的の数だけハニーポットの形態があるといえるが、実現方法によって次のように分けることが出来る。


高対話型ハニーポット

The Honeynet Projectのハニーネットの様に実際に脆弱性を残した「本物」のOSやアプリケーションなどをハニーポットとして利用する。「本物」を使う分、高度な情報を得ることが出来るが侵入されたときのリスクが高い。また、ハイ・インタラクション型ハニーポットと呼ばれる事もある。


低対話型ハニーポット

特定のOSやアプリケーションをエミュレートし監視を行う。エミュレートした範囲に機能が制限されるので高対話型に比べ比較的安全に運用が出来る。只、機能を限定しているので情報量は落ちてしまう。特定用途向けのハニーポット。Honeyd、Spector、GHH ("Google Hack" Honeypot)、mwcollectなどがある。また、ロー・インタラクション型ハニーポットと呼ばれる事もある。


仮想ハニーポット

仮想機械VMwareXenなど)で構成されたハニーポット。仮想機械を用いることで、ホストを侵入前の状態に戻したりなど、リスクを抑えたり管理面で有効な方法である。だが、ボットの種類によっては仮想機械であるか調べるものがあり、仮想機械の特徴を調べることでハニーポットで監視していることが侵入者に知られる可能性もある。

★制服でHなバイト★
1日5万円★日払い★
[次ページ]
[オプション/リンク一覧]
[記事の検索]
[おまかせ表示]
[トップページ]
[ニュースをチェック!]
[列車運行情報]
Size:15 KB
出典: フリー百科事典『ウィキペディア(Wikipedia)
担当:Mamenoki