ハニーポット

ハニーポットの基本

重要なシステムから悪質なトラフィックをそらすことができるため、ハニーポットの用途やユースケースは数多くあり、重要なシステムが攻撃を受ける前に現在の攻撃の早期警告を取得して、攻撃者とその攻撃方法に関する情報を収集できます。ハニーポットに機密データが含まれておらず、十分に監視されているのであれば、ネットワーネットワークにリスクを与えることなく、攻撃者のツール、攻撃方法、手順（TTP）についてのインサイトを得て、フォレンジック分析と法的証拠を収集することができます。

ハニーポットが正常に動作するためには、真のシステムであるように見せなければなりません。本番システムで実行されるべきプロセスを実行し、一見重要に思われるダミーファイルを含む必要があります。ハニーポットは、適切なスニッフィング機能とログ機能が設定されているのであれば、どのシステムであってもかまいません。企業のファイアウォール内にハニーポットを配置するのも良いアイデアです。重要なログ機能とアラート機能が提供されるだけでなく、発信トラトラフィックをブロックすることもできるため、侵害されたハニーポットから社内の他の資産に移動できなくなります。

目的の面から見ると、ハニーポットには調査と本番の2種類のハニーポットがあります。調査ハニーポットは、攻撃に関する情報を収集するもので、特に、現実世界における悪質な行動を調査する目的で使用されます。貴社の環境とより現実世界の両方を調査して、攻撃者の傾向、マルウェアの変形、および攻撃者が意欲的にターゲットとしている脆弱性に関する情報を収集します。これらの情報から、予防防衛対策、パッチの優先順位付け、将来の投資に有益な情報が得られます。

一方、本番ハニーポットでは、内部ネットワーク上の侵害を特定して、攻撃者をだますことに焦点を当てています。ハニーポットがさらなる監視の機会を追加し、ネットワークスキャンと横移動を特定する際に生じるよくある検出上のギャップを埋める中、情報収集は依然として優先事項です。本番ハニーポットは他の実稼働サーバーと共に配置され、お客様の環境で通常実行されているサービスを実行します。調査ハニデータポットはより複雑になる傾向にあり、本番ハニーポットと比べて保存されるデータのタイプも多くなります。

ハニーポットのさまざまな複雑性

本番ハニーポットと調査ハニーポットでは、組織が必要とする複雑さの程度によって、異なる層もあります。

• ピュア ハニーポット：さまざまなサーバー上で動作する本格的かつ完全な本番環境を模倣するシステムです。「機密性」のあるデータとユーザー情報が含まれており、センサーもたくさんあります。こういったハニーポットは複雑で、維持が困難になることがありますが、得られる情報は非常に貴重です。
• 高対話型ハニーポット：多くのサービスが実行されているという点でピュア ハニーポットと似ていますが、それほど複雑ではなく、多くのデータも保持していません。高対話型ハニーポットは、本格的な実稼働システムを模倣するためのものではありませんが、適切なオペレーティングシステムを含めた実稼働システムで実行されるすべてのサービスを実行します（または実行しているように見えます）。このタイプのハニーポットでは、デプロイ中の組織が攻撃者の行動や技術を確認することができます。高対話型ハニーポットはリソースを多用するため、保守上の課題もありますが、調査結果は圧倒的な価値があります。
• 中間ハニーポット：アプリケーション層の側面はエミュレートしますが、オペレーティングシステムがありません。攻撃者を妨害したり、混乱させることで、組織が攻撃に適切に対応する方法を把握するまで時間を稼ぎます。
• 低対話型ハニーポット：本番環境に最もよくデプロイされているタイプのハニーポットです。低対話型ハニーポットでは、少数のサービスが実行され、もっぱら早期検知メカニズムとして機能します。デプロイと維持が容易であることから、セキュリティチームはネットワーク上のさまざまなセグメントに複数のハニーポットをデプロイしています。

ハニーポットテクノロジーのさまざまな種類

以下は、使用されているハニーポットテクノロジーの一例です。

• マルウェアハニーポット：既知のレプリケーションと攻撃ベクトルを使用してマルウェアを検知します。例えば、USBストレージデバイスとしてエミュレートするように作られたハニーポット（Ghostなど）があります。マシンがUSB経由で拡散するマルウェアに感染している場合、このハニーポットはマルウェアを騙して、エミュレートされたデバイスに感染するように仕向けます。
• スパムハニーポット：メールのオープンリレーやオープンプロキシをエミュレートするために使用します。スパマーは、先にメールアドレスを送信することで、メールのオープンリレーをテストします。成功した場合には、大量のスパムメールを送信します。このハニーポット タイプは、このテストを検知して認識し、次に来るであろう大量のスパムをブロックすることができます。
• データベースハニーポット：SQLインジェクションなどのアクティビティはファイアウォールでは検知されないことがよくあります。このため、一部の組織ではデータベース ファイアウォールを使用しており、こういったファイアウォールには、おとりのデータベースを作成できるハニーポットサポートが備わっています。
• クライアントハニーポット：ほとんどのハニーポットは、接続をリスニングするサーバーです。クライアントハニーポットは、クライアントを攻撃する悪質なサーバーを探し出し、ハニーポットに対する疑わしいく予期しない修正がないかを監視します。これらのシステムは通常、仮想テクテクノロジー上で動作し、研究チームへのリスクを最小限に抑えるための封じ込め戦略が設けられています。
• ハニーネット：1つのシステムではなく、複数のハニーポットで構成されるネットワークです。ハニーネットは、攻撃者の手法と動機を戦略的に追跡しながら、トラフィックの受送信をすべて含めることを目的としています。

ハニーポットの利点

ハニーポットを実装した場合、組織は以下を含めた数多くのセキュリティ上の利点が得られます。

攻撃者のキルチェーンを破壊し、攻撃のスピードを遅らせます

攻撃者が環境内全体を動きまわる中、ハニーポットは予備調査を実施して、ネットワークをスキャンし、設定ミスのあるデバイスや脆弱なデバイスを探し出します。この段階で、攻撃がハニーポットを通る可能性があり、攻撃者のアクセスを調査し封じ込めるよう警告が発せられます。これにより攻撃者が環境からデータを持ち出す前に、対応できるようになります。悪意のある攻撃者は、実際のデータが存在するエリアを探し出す代わりに、ハニーポットでの作業に大量の時間を費やすことになる可能性もあります。使いみちのないシステムへと攻撃をそらすサイクルにより、進行中の攻撃に対する早期警告が得られます。

わかりやすく、低メンテナンス

最新のハニーポットはダウンロードとインストールが容易なだけでなく、危険な設定ミスや攻撃者行動に関する正確なアラートも提供してくれます。場合によっては、何者かが内部ネットワークにアクセスしようと試みるまで、チームはハニーポットがデプロイされていることさえも忘れているかもしれません。侵入検知システムとは異なり、ハニーポットは、有用となるにあたり既知の攻撃シグニチャや新しい脅威インテリジェンスを必要としません。

インシデント対応プロセスをテストするのに役立ちます

ハニーポットはセキュリティの成熟度を向上させることができる低コストな手段となります。ハニーポットで予期せぬアクティビティが検出されたときに、チームが対処方法を把握しているかどうかをテストすることができます。チームは警告を調査して、適切な対策を講じることができますか？

ハニーポットを全体的な脅威検知戦略にするべきではありませんが、攻撃を早期に発見するために役立つセキュリティのもう1つの層となります。セキュリティ専門家が現実社会の悪質な行動を調査し、内部ネットワークへの侵害を把握するために利用できる、数少ない手段の1つとなります。ブルーチームの防御を向上させることができるその他のテクノロジーについてもご興味がありますか？ディセプションテクノロジーに関するページをぜひご覧ください。