第11回 ハニーポットによるウイルス捕獲から見えてくるもの
辻 伸弘
NTTデータ先端技術株式会社
2008/8/22
| ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 |
8月といえば夏休みである。夏休みといえば、何を連想されるだろうか。旅行、帰省、山、海、プール、楽しいことがたくさんある。しかし、忘れてはならない、忘れることができない、皆さんが経験してきた最大の難関――夏休みの宿題。その中でもとりわけハードルが高かったのは「自由研究」ではないだろうか。何をすればいいのか、少しでも楽に済ませるにはどうすればいいのか。こども心に頭を悩まし、時には、家族ぐるみで知恵を出し合ったものである。
私個人、大人になっても、一番楽しかったと印象に残っている夏休みの自由研究は、王道中の王道「昆虫採集」である。
というわけで、ペネトレーションテストのことを中心にお送りしている本連載も夏休みという季節柄と、たまには、童心に帰る意味も込めて第11回となる今回は、夏休み特別企画と称して、ITセキュリティ版昆虫採集をお送りしたいと思う。
ハニーポットによる昆虫採集
昆虫の中には、アクティブに探したり、追いかけたりせずとも比較的、簡単にわなに引っ掛かってくれるものもいる。昆虫の王様である「カブトムシ」も黒砂糖を溶かしたものを木の幹に塗り、集まってきたものを捕獲するという方法が有効である。ネットワークセキュリティにも、これと似たような仕組みでハニーポットというものがある。
ハニーポットとは、直訳すると「みつのつぼ」であり、侵入、攻撃を行うもの(または、プログラム)にとって何かしらの有益なリソースがありそうなコンピュータを設置して、そのものの行動を観察することで、現在はどのような攻撃手法、ツールが用いられるのかといった情報を収集することを目的とした、攻撃されることに価値があるシステムである。
ハニーポットには、さまざまな種類、コンセプトのものが存在するが、大きく分けて以下の2種類が存在する。
- ロー・インタラクション(低対話型)ハニーポット
- ハイ・インタラクション(高対話型)ハニーポット
| 【注】 さらに細かく分類すると仮想ハニーポットや分散型ハニーポットなどといったものも存在する。 |
1.は、脆弱(ぜいじゃく)性が存在する本物のOSやアプリケーションを使用するのではなく、本物の「ような」環境や、その反応をエミュレートすることで侵入、攻撃を行う者(または、プログラム)を観察し、情報を得るものである。それに対して、2.は、脆弱性が存在する本物のOSやアプリケーションを用いて構築されるものである。
1.の場合は、実際の被害を受けたうえでの観察ではないため、比較的運用が楽であるといえるが、その半面、あくまでエミュレートであるため、収集できる情報の量が限られてしまうというデメリットもある。これとは逆に2.の場合は収集できる情報の量は多いが、実際の被害を受けるため、ハニーポットの外への被害拡大の可能性の考慮や制御をする必要がある。また、ハニーポットそのもののメンテナンス性が低いというデメリットがある。
今回は、あるロー・インタラクションハニーポットを使用して、脆弱なシステムをエミュレートし、ウイルスを捕獲するという方法を紹介したいと思う。昆虫採集ならぬ、ウイルス採集である。
ウイルス採集キット、食虫植物ウツボカズラこと「nepenthes」
ロー・インタラクションハニーポットと一言でいっても、世の中にはさまざまなものが存在する。1つのソフトウェアであたかもネットワーク上に複数のホストが存在するかのようにホストそのものをエミュレートする「honeyd」やGoogleハッキングで発見されることを目的とし、発見された後、どのようなリクエストを送信してくるかを観察することができる「GHH」(Google Hacking Honeypot)なども存在する。
単に攻撃を受け続けるだけでは「採集」にはならない。従って、今回は、1つのソフトウェアで脆弱性の存在するホストをエミュレートし、さらに、攻撃を行ってきたウイルスを採集することができる「nepenthes」を採集キットとして紹介する(ちなみに、nepenthesとは、食虫植物で知られる「靫葛(ウツボカズラ)」という意味である)。
脆弱性が存在するホストに見せ掛け、攻撃を受けてウイルスそのものを捕獲する。黒砂糖を溶かしたものを木の幹に塗り、集まってきたカブトムシを捕獲する――これとそっくりである。なんだかワクワクしてこないだろうか?
1/4 |
 |
| Index | |
| ハニーポットによるウイルス捕獲から見えてくるもの | |
 |
Page1 ハニーポットによる昆虫採集 ウイルス採集キット、食虫植物ウツボカズラこと「nepenthes」 |
| Page2 nepenthesのインストールの前に nepenthesのインストール |
|
| Page3 nepenthesの起動と確認 nepenthesによるウイルスの捕獲 |
|
| Page4 捕獲されたウイルスの検出 ハニーポットで実感するネット脅威の“現実” |
|
セキュリティ対策の「ある視点」 バックナンバー
- 第1回 たった2行でできるWebサーバ防御の「心理戦」
- 第2回 ディレクトリ非表示の意味をもう一度見つめ直す
- 第3回 「Forbidden」「サンプル」をセキュリティ的に翻訳せよ
- 第4回 メールサーバ防御でも忘れてはならない「アリの一穴」
- 第5回 DNS、管理者として見るか? 攻撃者として見るか?
- 第6回 己を知り、敵を知る――Nmapで見つめ直す自分の姿
- 第7回 魂まで支配されかねない「名前を知られる」という事件
- 第8回 魂、奪われた後――弱いパスワードの罪と罰
- 第9回 人の造りしもの――“パスワード”の破られ方と守り方
- 第10回 SNMPコミュニティ名、そのデフォルトの価値は
- 第11回 ハニーポットによるウイルス捕獲から見えてくるもの
- 第12回 プレイバックPart.I:ウイルスのかたち、脅威のかたち
- 第13回 プレイバックPart.II:シフトした脅威の中で
- 第14回 ASV検査、ペネトレテスターの思考を追う
- 第15回 報告、それは脆弱性検査の「序章」
- 第16回 たった1つの脆弱性がもたらすシステムの“破れ”
- 最終回 Q.E.D.――セキュリティ問題を解決するのは「人」
 |
セキュリティ対策の「ある視点」 連載インデックス |
TechTargetジャパン
- Facebook タイムライン利用時の「鉄則」 (2012/2/9)
ユーザーインターフェイスの変更措置に伴い浮上した、Facebookの「過剰な情報提供」のリスクと対策とは - 無料サービスなら通信内容を記録してもいいの? (2012/1/13)
無料の公衆無線LANサービスが、ユーザーに無断で通信履歴を記録していたことが判明し、話題に - 攻撃はまるでレーザービーム (2011/12/26)
2011年に話題となった標的型攻撃は「人」という弱点ををねらい打ちにしました。では、人に教育さえしておけば防げるものなのでしょうか? - 見せたくないなら「持たせない」が鉄則! (2011/12/15)
逆コンパイル対策で難読化したのに、大事なデータが解析されちゃった? Androidアプリのセキュリティの道は深い
 |
|
|
|
|
キャリアアップ
スポンサーからのお知らせ
- - PR -
イベントカレンダー
- - PR -
お勧め求人情報
転職/派遣情報を探す
**先週の人気講座ランキング**
〜 Android編 〜
ホワイトペーパー(TechTargetジャパン)
著作権はアイティメディア株式会社またはその記事の筆者に属します。(著作権について)
当サイトに掲載されている記事や画像などの無断転載を禁止します。
「@IT」「@IT自分戦略研究所」「@IT情報マネジメント」「JOB@IT」「@ITハイブックス」「@IT MONOist」「ITmedia」「誠」「BARKS」は、アイティメディア株式会社の登録商標です。
当サイトに関するお問い合わせは「@ITへのお問い合わせ」をご覧ください。