連載
» 2008年08月22日 16時54分 公開

セキュリティ対策の「ある視点」(11):ハニーポットによるウイルス捕獲から見えてくるもの (1/4)

もうすぐ夏休みも終わり。そこで今回は夏休み特別企画、ネットでできる「ITセキュリティ版昆虫採集」で脅威の今を探ります。

[辻 伸弘(ソフトバンク・テクノロジー株式会社),@IT]

※ご注意

本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。

また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。


 8月といえば夏休みである。夏休みといえば、何を連想されるだろうか。旅行、帰省、山、海、プール、楽しいことがたくさんある。しかし、忘れてはならない、忘れることができない、皆さんが経験してきた最大の難関――夏休みの宿題。その中でもとりわけハードルが高かったのは「自由研究」ではないだろうか。何をすればいいのか、少しでも楽に済ませるにはどうすればいいのか。こども心に頭を悩まし、時には、家族ぐるみで知恵を出し合ったものである。

 私個人、大人になっても、一番楽しかったと印象に残っている夏休みの自由研究は、王道中の王道「昆虫採集」である。

 というわけで、ペネトレーションテストのことを中心にお送りしている本連載も夏休みという季節柄と、たまには、童心に帰る意味も込めて第11回となる今回は、夏休み特別企画と称して、ITセキュリティ版昆虫採集をお送りしたいと思う。

ハニーポットによる昆虫採集

 昆虫の中には、アクティブに探したり、追いかけたりせずとも比較的、簡単にわなに引っ掛かってくれるものもいる。昆虫の王様である「カブトムシ」も黒砂糖を溶かしたものを木の幹に塗り、集まってきたものを捕獲するという方法が有効である。ネットワークセキュリティにも、これと似たような仕組みでハニーポットというものがある。

 ハニーポットとは、直訳すると「みつのつぼ」であり、侵入、攻撃を行うもの(または、プログラム)にとって何かしらの有益なリソースがありそうなコンピュータを設置して、そのものの行動を観察することで、現在はどのような攻撃手法、ツールが用いられるのかといった情報を収集することを目的とした、攻撃されることに価値があるシステムである。

 ハニーポットには、さまざまな種類、コンセプトのものが存在するが、大きく分けて以下の2種類が存在する。

  1. ロー・インタラクション(低対話型)ハニーポット
  2. ハイ・インタラクション(高対話型)ハニーポット

【注】

さらに細かく分類すると仮想ハニーポットや分散型ハニーポットなどといったものも存在する。


 1.は、脆弱(ぜいじゃく)性が存在する本物のOSやアプリケーションを使用するのではなく、本物の「ような」環境や、その反応をエミュレートすることで侵入、攻撃を行う者(または、プログラム)を観察し、情報を得るものである。それに対して、2.は、脆弱性が存在する本物のOSやアプリケーションを用いて構築されるものである。

 1.の場合は、実際の被害を受けたうえでの観察ではないため、比較的運用が楽であるといえるが、その半面、あくまでエミュレートであるため、収集できる情報の量が限られてしまうというデメリットもある。これとは逆に2.の場合は収集できる情報の量は多いが、実際の被害を受けるため、ハニーポットの外への被害拡大の可能性の考慮や制御をする必要がある。また、ハニーポットそのもののメンテナンス性が低いというデメリットがある。

 今回は、あるロー・インタラクションハニーポットを使用して、脆弱なシステムをエミュレートし、ウイルスを捕獲するという方法を紹介したいと思う。昆虫採集ならぬ、ウイルス採集である。

ウイルス採集キット、食虫植物ウツボカズラこと「nepenthes」

 ロー・インタラクションハニーポットと一言でいっても、世の中にはさまざまなものが存在する。1つのソフトウェアであたかもネットワーク上に複数のホストが存在するかのようにホストそのものをエミュレートする「honeyd」やGoogleハッキングで発見されることを目的とし、発見された後、どのようなリクエストを送信してくるかを観察することができる「GHH」(Google Hacking Honeypot)なども存在する。

 単に攻撃を受け続けるだけでは「採集」にはならない。従って、今回は、1つのソフトウェアで脆弱性の存在するホストをエミュレートし、さらに、攻撃を行ってきたウイルスを採集することができる「nepenthes」を採集キットとして紹介する(ちなみに、nepenthesとは、食虫植物で知られる「靫葛(ウツボカズラ)」という意味である)。

 脆弱性が存在するホストに見せ掛け、攻撃を受けてウイルスそのものを捕獲する。黒砂糖を溶かしたものを木の幹に塗り、集まってきたカブトムシを捕獲する――これとそっくりである。なんだかワクワクしてこないだろうか?

       1|2|3|4 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。