ハニーポット
読み方:ハニーポット
ハニーポットとは
ハニーポットとは、脆弱性のあるサーバやネットワークをおとりとして設置し、攻撃者を引きつけて意図的に攻撃を受けさせることで、その手法や行動を監視・分析・研究し、攻撃目的を推測するための仕組みです。
また、攻撃者の注意をハニーポットに向けさせることで、実稼働中のサーバやネットワークへの関心をそらす効果も期待されます。ただし、これはあくまで注意を逸らすためのものであり、実際のシステムを直接保護するものではない点に留意が必要です。
導入の際の留意点
ハニーポットは、実際に稼働しているシステムに似せて構築し、攻撃者やマルウェアの挙動を検証する目的で使用されます。攻撃者に偽物だと見破られないよう、設計には慎重さが求められます。
また、ログの記録は不可欠ですが、ハニーポット内部のログは攻撃者によって改ざんされる可能性があるため、外部の安全な方法で記録することが必要です。加えて、ハニーポット自体が乗っ取られないよう、適切な防御策を講じることも重要です。
ハニーポットの種類
- ・高対話型ハニーポット
高対話型ハニーポットは、脆弱性を持つ実際のOSやアプリケーションを用いて構築されます。攻撃者からはおとりだと見破られにくく、通常の社内インフラに対する攻撃と同様の行動を観察できる可能性があります。
- ・低対話型ハニーポット
低対話型ハニーポットは、OSやアプリケーションを模倣して構築されたものです。高対話型に比べて攻撃者の行動範囲を制限できるため、比較的リスクが低い点が特徴です。
ハニーポットの関連語
- ・サンドボックス
ハニーポットが攻撃手法を探るためのおとりシステムであるのに対し、サンドボックスは外部から持ち込まれたデータの挙動を確認するための仮想環境です。サンドボックスは通常使用するシステムとは完全に分離されており、安全性が確保されています。
セキュリティソフトは登録されたパターンに基づいてマルウェアを判定しますが、サンドボックスでは挙動を分析して判断するため、未知のマルウェアに対しても有効です。
