2016.2.1 (Mon)
キーマンズボイス(第6回)
株式会社ラック 代表取締役社長 髙梨 輝彦 氏ハニーポット
概要
ハニーポットとは本来「蜜の詰まった壺」を指す英語である。コンピューター用語では、ハッカーの手口やコンピューターウィルスを調査するために、故意に侵入しやすい穴があるシステムや機器などのことを指す。ハニーポットに残されたアクセスログを利用し、最近の不正アクセスの手法やトレンドの調査を行うことや、マルウェアの入手を目的として設置される。さらにほかに機密情報を有していた場合、それらを狙うクラッカー(有益な情報の奪取や破壊を試みて、コンピューター上で主に不正通信攻撃を仕掛ける者)から注意をそらすために利用するケースもある。
種類
ハニーポットは「高対話型ハニーポット」「低対話型ハニーポット」「仮想ハニーポット」「分散型ハニーポット」「ハニーポットファーム」の5種類に大別される。「高対話型ハニーポット」では脆弱性を残した実際のOS(Operating System)やアプリケーションなどをハニーポットとして利用する。高度な情報を得ることができるが、侵入されたときに乗っ取られるなどのリスクは高くなる。
「低対話型ハニーポット」では特定のOSやアプリケーションを模倣し、監視を行う。模倣した範囲に機能が限定されるため、高対話型と比較すると安全に運用ができるが、得られる情報は少なくなる。「仮想ハニーポット」は仮想機械で構成されたハニーポットを用いる。侵入されたときの復元など管理が容易で安全性が高い。しかし、侵入を試みる自動プログラムの中には仮想機械を識別する機能を持つものもあるため、ハニーポットの手法を用いていることがクラッカーに発見されるリスクも存在する。「分散型ハニーポット」では遠隔地にハニーポットを置き、集中的に管理分析を行う。「ハニーポットファーム」は転送通信によりハニーポットで情報を集め監視する。侵入リスクを1カ所に集中することができるが転送時間が課題である。
シーン
多くのメリットが考えられるハニーポットの設置であるが、1企業にとってハニーポットの運用は困難である。ハニーポットを構築するには、侵入を検知して監視し、分析を行う十分なログを取る技術が必要である。さらにログの内容は多岐に渡り、攻撃手法や不正な証拠を特定するには多くの知識と技術が必要である。
ハニーポットを構築後も、ログの定期的な確認が必要となり、不正アクセスの温床となっていないことも確認し続けなければならない。
