ハニーポットの定義
ハニーポットの定義の1つは、機密を手に入れる方法としてロマンチックな関係を利用するマタ・ハリスタイルのスパイが「ハニーポット」または「ハニートラップ」と呼ばれる色仕掛けの甘い罠を仕掛けるなどと表現される諜報の世界に由来します。しばしば、敵のスパイはその罠に骨抜きにされ、知っている情報をすべて渡さざるを得なくなります。
サイバーセキュリティにおいても、ハニーポットは同様に機能する、ハッカーをおびき寄せる罠です。つまりは、サイバー攻撃者をおびき寄せるおとりのPCです。ハッカーのターゲットを装い、サイバー犯罪者に侵入を試みさせて、犯罪者とその手口に関する情報を収集します。
ハニーポットの仕組み
ハニーポットはアプリケーションやデータを備えた本物のコンピュータシステムと変わらず、サイバー攻撃者を欺いて正真正銘のターゲットと思わせます。例えば、ハニーポットは、クレジットカード番号を盗み出したい犯罪者の攻撃対象になることが多い、企業の取引先の請求システムを装うこともできます。ハッカーが侵入すると、それを追跡し、実際のネットワークの安全性をどう高めればいいかを知るための手掛かりを調べます。
ハニーポットは、セキュリティの脆弱性を意図的に構築して、攻撃者をおびき寄せるように作られています。例えば、ハニーポットには、ポートスキャンに応答するポートが設けられていたり、脆弱なパスワードが設定されていたりします。脆弱なポートを開いたままにして、より安全な実際のネットワークではなく、ハニーポット環境に攻撃者を引き入れます。
ハニーポットは、ファイアウォールやウイルス対策といった特定の問題に対処するために構築されているわけではありません。ハニーポットは、企業にとっての脅威を理解し、新たな脅威の出現に気づけるようにする情報ツールなのです。ハニーポットによって得られた貴重な情報によって、セキュリティへの取り組みの優先順位づけができ、取り組みに注力できるようになります。
ハニーポットの種類と仕組み
脅威のタイプに合わせて、ハニーポットを使い分けることができます。ハニーポットのそれぞれの定義は、そのハニーポットが取り組む脅威に基づいています。それぞれに、綿密で効果的なサイバーセキュリティ戦略があります。
メールトラップまたはスパムトラップは、自動化されたアドレスハーベスタのみが特定できる隠された場所に偽のEメールアドレスを設けます。スパムトラップ以外の目的には使用しないため、このアドレス宛てのメールがすべてスパムメールであることは100%確実です。スパムトラップ宛のメールと同じ内容のすべてのメールが自動的にブロックされ、送信元のIPアドレスは拒否リストに追加されます。
デコイデータベースは、ソフトウェアの脆弱性を監視したり、安全でないシステムアーキテクチャを利用した攻撃やSQLインジェクションによる攻撃、SQLサービスの利用や特権の悪用による攻撃を発見したりすることができます。
マルウェアハニーポットは、アプリやAPIを装ってマルウェア攻撃を招き入れます。攻撃を受けたら、そのマルウェアの特徴を分析し、マルウェア対策ソフトウェアの開発やAPIの脆弱性の修正に役立てます
スパイダーハニーポットは、webクローラー(スパイダー)のみがアクセスできるウェブページとリンクを作成して、クローラーをおびき寄せるためのものです。クローラーを検出することで、悪意のあるボットや広告ネットワーククローラーをブロックする方法を見つけることにつながります。
ハニーポットシステムにやってくるトラフィックを監視することで、以下を見極められます。
- サイバー犯罪者がどこにいるのか
- 脅威のレベル
- その犯罪者の手口
- どのようなデータやアプリケーションに関心があるのか
- 現在のセキュリティ対策でサイバー攻撃をどれくらい防げるか
別の定義では、ハニーポットをハイインタラクション型とローインタラクション型に分けています。ローインタラクション型ハニーポットは使用するリソースが少なく、脅威のレベルや種類、どこらか攻撃しているのかといった基本的な情報を収集します。一般的に、いくつかの基本的なシミュレーションしたTCPとIPプロトコル、ネットワークサービスだけで構築できます。しかし、ハニーポット内部には、攻撃者を長く引き付けておくものは何もなく、攻撃者の習慣や複雑な脅威について詳しい情報を得ることはできません。
一方、ハイインタラクション型ハニーポットは、ハッカーにできる限り長くハニーポット内部にとどまってもらうようにするためのもので、犯罪者の意図やターゲット、利用する脆弱性や手口など、多くの情報が得られます。攻撃者が非常に長く関与する可能性のあるデータベース、システムや処理など、攻撃者を「ひきつけるもの」が入れられたハニーポットと考えてください。これにより、研究者は、攻撃者が機密情報を見つけ出そうと探索するのはシステムのどの場所か、特権昇格にどんなツールを使うのか、システムの侵害にどういったセキュリティ上の弱点を利用するのかといったことを追跡できるようになります。
ただ、ハイインタラクション型ハニーポットはリソースを大量に消費します。構築も監視もずっと難しく、時間もかかります。また、リスクを引き起こす恐れもあります。「ハニーウォール」で保護していない場合、断固たる決意を持つずる賢いハッカーに、他のインターネットホストを攻撃したり、侵害した機器からスパムメールを送ったりするのにハイインタラクション型ハニーポットを利用されてしまう恐れがあります。
どちらのタイプのハニーポットにも、ハニーポットサイバーセキュリティでの相応の役割があります。両方を組み合わせて活用すれば、ローインタラクション型ハニーポットによって得られた脅威の種類についての基本情報を、ハイインタラクション型ハニーポットから得られた意図や通信、セキュリティ上の弱点についての情報を追加して詳細化することができます。
脅威情報の枠組みの策定にサイバーハニーポットを活用することで、サイバーセキュリティを、対象とする適切な場所に役立てられるようになり、セキュリティ上の弱点がどこにあるかも見極められるようになります。
ハニーポットを活用するメリット
ハニーポットは、主要システムの脆弱性を明らかにする良い方法です。例えば、ハニーポットは、IoTデバイスに対する攻撃によってもたらされる高レベルの脅威を顕在化できます。また、セキュリティをどう改善すればいいかも示唆してくれます。
ハニーポットの活用には、実際のシステムで侵入を突き止める場合にはないメリットがあります。例えば、当然ながら、ハニーポットに正規のトラフィックが発生することはあり得ませんので、記録された活動はすべて探査や侵入の試みである可能性が高くなります。
このため、ネットワークスイープの実行に同じようなIPアドレス(IPアドレスがすべて同じ国のもの)が使われているといったパターンを非常に容易に突き止められます。一方、脅威のこういった動かぬ兆候は、コアネットワークで高レベルの正規のトラフィックを調査する場合、ノイズに紛れて簡単に見失われてしまいます。ハニーポットセキュリティを使う大きなメリットは、これらの悪意あるアドレスだけを見ることができ、脅威を特定しやすくなることです。
ハニーポットが処理できるトラフィックは非常に限られているため、少ないリソースで済みます。ハードウェアを酷使することもないので、使わなくなった古いPCでハニーポットを構築できます。ソフトウェアに関しては、多数の書き込み済みのハニーポットがオンラインリポジトリで入手でき、ハニーポットを立ち上げて作動させるのに必要な組織内での作業量を大幅に減らせます。
ハニーポットは誤判定率が低く、これは、誤った警告を出す可能性が高い従来の侵入検出システム(IDS)とは全く対照的です。繰り返しになりますが、ハニーポットは取り組みの優先順位づけに役立ち、ハニーポットによるリソースの消費も低く抑えられます(事実、ハニーポットで収集したデータを使い、そのデータと他のシステムやファイアウォールログとを関連づけることで、IDSをより関連性のある警告で構成することが可能です。このようにして、ハニーポットは、他のサイバーセキュリティの改良・改善にも役立ちます)。
ハニーポットからは、脅威がどのように発展していくかについての信頼性の高い情報が得られます。攻撃ベクターやセキュリティ上の弱点、マルウェアについての情報も得られます。また、メールトラップの場合には、スパムの発信者やフィッシング攻撃についての情報も得られます。ハッカーは、その侵入手法を常に磨いています。サイバーハニーポットは、新たに登場する脅威や侵入を突き止めるのに役立ちます。ハニーポットを有効に活用すれば、盲点をなくすこともできます。
また、ハニーポットは、セキュリティの技術スタッフのトレーニングツールとしても優れています。ハニーポットは、攻撃者がどのように作業を進めるかを明らかにするための、また、さまざまなタイプの脅威を検証するための管理された安全な環境です。ハニーポットなら、技術スタッフは、ネットワークの実際のトラフィックに気が散ることなく、100%脅威に集中できます。
ハニーポットは、内なる脅威も見つけ出すことができます。ほとんどの組織が境界の守りに時間を費やし、部外者や侵入者が入ってこないようにしています。しかし、境界だけを守っていると、ファイアウォールのすり抜けに成功したハッカーが、侵入によってこそ可能になるあらゆる損害を何の制約もなく与えられるようになります。
ファイアウォールも、辞める前にファイルを盗もうとしている従業員といった、内なる脅威には役立ちません。ハニーポットなら、内なる脅威に関する有用な情報も同様に得られ、部内者にシステムの利用を許す許可といった脆弱性も明らかにします。
ハニーポットを構築すると、最終的には、実質的に利他的な存在となって、他のPCユーザーを手助けすることになります。ハッカーがハニーポットで無駄な作業に時間を費やせば費やすほど、実システムをハッキングして、自分や他の人たちに実害を与える時間が少なくなるからです。
ハニーポットの危険
ハニーポットのサイバーセキュリティは脅威環境を明らかにするのに役立つ一方、把握できるのはハニーポットに向けられる活動のみで、起こっていることをすべて把握できるわけではありません。特定の脅威がハニーポットに向けられないからと言って、それを存在しないものと見なすことはできません。脅威について知らせてくれるハニーポットだけに頼るのではなく、ITセキュリティに関するニュースを常に把握することが重要です。
巧妙かつ適切に構成されたハニーポットは、攻撃者を欺いて、実際のシステムにアクセスしたと思わせます。ハニーポットは、実システムと同じログイン警告メッセージも、同じデータフィールドも、同じルックアンドフィールやロゴも備えています。しかし、それがハニーポットだということを攻撃者が突き止めてしまった場合には、ハニーポットには手を付けず、他のシステムの攻撃に移る可能性があります。
ハニーポットを「フィンガープリント」すると、攻撃者は、ターゲットにしているセキュリティ上の弱点から注意をそらすため、生産システムに対して偽装攻撃を仕掛けてくる可能性があります。ハニーポットに嘘の情報を流す可能性もあります。
それどころか、ずる賢い攻撃者は、システムに侵入する方法としてハニーポットを使う可能性があります。ハニーポットが、ファイアウォールや他の侵入検出システムといった、適切なセキュリティコントロールに絶対に取って代わらないのはこのためです。ハニーポットはさらなる侵入の踏み台として機能する可能性があるため、すべてのハニーポットの安全を確保するようにします。「ハニーウォール」は、基本的なハニーポットセキュリティを提供し、実システムへの侵入が絶対に起こらないよう、ハニーポットに向けられる攻撃を阻止します。
ハニーポットで、サイバーセキュリティの取り組みを優先順位づけするための情報を得るべきですが、適切なサイバーセキュリティに取って代えることはできません。いかに多くのハニーポットを備えていようと、Kaspersky Endpoint Security Cloudといった、事業資産を守るためのパッケージを一度ご検討ください(カスペルスキーでは、インターネット脅威を検出するための独自のハニーポットを使用しているため、別に構築する必要はありません)。
総合的に見て、ハニーポットを活用するメリットはリスクに勝ります。ハッカーを、遠く離れた、目に見えない脅威と捉えがちですが、ハニーポットを使えば、ハッカーが実際に何を行っているかをリアルタイムで見ることができ、得られた情報によって、ハッカーがやりたい放題するのを阻止できます。
Kaspersky Endpoint Securityは、2021年に企業向けエンドポイントセキュリティ製品部門で「最高性能」、「保護」、「ユーザビリティ」の3つのAV-TEST賞を受賞しました。Kaspersky Endpoint Securityは、すべての試験で優れた性能、企業向けの保護とユーザビリティを示しました。
関連製品:
