第41回攻撃者をおびき寄せる「ハニーポット」とは?

快適ITライフのために知っておきたい
初めての情報セキュリティー

PCのウイルス感染による個人情報の漏えい、インターネットを利用した犯罪などが急増する昨今、ITの専門家だけでなく、使う側のITリテラシーが問われている。ITコンサルタントのドクター・グンプ氏に、人類総インターネット時代の新常識を学ぶ。

Dr. Hermann Gumpp ミュンヘン在住の IT コンサルタント、起業家。日独産業協会における IT ワーキンググループを率い、ミュンヘン大学（LMU）や日本企業での技術導入アドバイザーならびにGDPR Toolbox というデータ保護のプラットフォームをEnobyte GmbH (enobyte.com) で共同開発中。東京の国立情報学研究所（NII）での研究開発経験もある。専門家チームとの共同研究を進めながら、あらゆるコンピューティング・プラットフォームにプロトタイプを導入している。

サイバー攻撃に対する甘い罠

攻撃者がコンピューターやネットワークに侵入しようとするとき、通常はその弱点を探すだろう。例えば古いソフトウェアや、既知のセキュリティーホールがあるサーバーを使用していることも弱点の一つとなり得る。

「ハニーポット（蜂蜜の壺）」とは、わざとインターネット上にさらされたサーバーのことで、攻撃者をおびき寄せるもの、つまり、外からは攻撃しやすい標的のように見えるものを意味する。しかし、実際にはハニーポット・サーバーはしっかりと保護されており、無意味なデータしか含んでいない。

まさに甘い蜂蜜でクマの気をそらしたり、罠に誘い込むように、攻撃者には簡単な獲物だと思わせるのがポイントだ。もし罠にかかった攻撃者がこのサーバーにマルウェアをインストールしたり、サイバー攻撃を仕掛けたとしても、何もない仮想環境で無駄に時間を費やすだけということになる。

このようにハニーポットを用いることで、実際のITインフラに被害が及ばないようにするだけでなく、使用された攻撃パターンに関する貴重な情報も得ることができる。さらに、攻撃者のIP アドレスを適時にブロックしたり、実際のシステムに追加のセキュリティー対策を講じることも可能だ。

ログインページに罠を仕掛ける

ハニーポットと似たコンセプトを持つものとして、ハニーリンクが存在する。例えば、ウェブサイトのログインページをハニーリンクに置き換えることで、攻撃者のログイン失敗をログに残すことができる。ここで攻撃者は、「間違ったドア」を叩き続けていることには気づかない（本物のログインページは当然、うまく隠されている）。

今日では、低コストで多くのコンピューターやネットワークをシミュレートできるいわゆる仮想マシン（VM）が普及している。仮想マシンは、全てのシステムコンポーネント（機器やソフトウエアや、システムの構成する部品や要素のこと）がシミュレーションの世界にしか存在しない。つまり、ソフトウエアは「本物」のコンピューターではない場所で動作していることを認識できないのだ。この特徴は、悪意のあるソフトウエアであるマルウェアに対して大変効果的である。

そのため、攻撃者にとって何が本物で何がシミュレートされたものかを判断することは難しい。とりわけ、ハニーポットは有効な手段として活用されている。

ハニーポットにはさまざまな種類が存在し、その目的も多様だ