www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポット脳

どうも。ハニーポッターの森久です。
この記事は、Honeypot Advent Calendar 2018の2日目の記事です。

ポエムなので、本当に暇な人向けです。
なぜ書いたのかといえば、忘れっぽい自分のためであり、未来の自分のためであり、そして自戒のために書いたものです。
決して特定の人や思想、考え方を否定するものではありません。

はじめに

もう耳タコかもしれませんが、お決まりの一文から。

ハニーポット(Honeypot)とは、あえて攻撃を受けることを前提としたシステムです。
ハニーポットを運用する人のことを僕はハニーポッターと呼んでいます。
近年、ハニーポッターは増加傾向でして、SNS の状況やブログの投稿数、自分が主催しているハニーポッター技術交流会の参加者傾向などから感じています。

もう何年もハニーポットを運用している僕としては、仲間が増えて嬉しい限りです。
そういう人たちと話をしていて、自省することが多々あります。

そしてハニーポットを始めたひとに伝えたいことが出てきました。ハニーポットという技術を知ってしまったからこそ、陥りやすい思考パターンがあるのです。

技術とは、それそのものに善悪は無く、それを用いる者に大きな力を授けます。
技術は使ってナンボのものです。その使い方を考えるのは楽しいものです。
適応の仕方や応用の方法を考えて、トライアンドエラーを繰り返し、目的を達するのです。

この「目的を達する」を忘れてはいけません。

ハニーポットを運用することが目的なのでしょうか。
いいや、ハニーポットを運用することで得られる知見を使って、”何か”することが目的のはず。

もちろんハニーポットという技術を使ってみたいという好奇心もあろう。
それならばハニーポットを構築した時点で完了だ。何も言うことはない。

一度、胸に手をおいて思い出してみよう。ハニーポットを運用しようとした目的を。
もしも目的を見失っていたのであれば、軌道修正しよう。

というわけで、以下は僕自身が目的を見失っていたときに、はたと「これはハニーポッターの思考だ」と気付いた3つの事例を紹介します。

ハニーポットとローマ

ハニーポットって凄いんですよ。いろんなものと親和性が高い。高すぎる。
中には、ハニーポットという名前ではなく、別の呼び方をしている場合があるけれど、僕の定義でいえばハニーポットであるということがよくある。
例えば、マルウェアを動的解析するシステムはクライアント側ハニーポットだし、iPhone の AirDrop をオンにしていれば画像を送りつけられるかもしれないのでハードウェア型ハニーポットだ。

とにかく見たこと聞いたこと、なんでもかんでもハニーポットに結びつけて考えてしまう思考だ。
もうお分かりかも知れないが、これがハニーポット脳だ。
「すべての道はローマに通ず」ということわざがあるけど、「すべての技術はハニーポットに通ず」といってもいいんじゃないかと思う。

タチが悪いことに、ハニーポット脳の果てはハニーポットのログを管理するためにストレージ管理を掘り下げたり、ログ解析のために機械学習を学び始めたり、大量のインスタンスの管理を容易にするスクリプトを書いたり、新しい PoC が公開されたのを見てどうすれば攻撃データを得られるかなどなどをするようになる(かもしれない)。
目標に向かっているならば、これらの行為は悪くない。横道にそれたままだと、当初の目標を達成できない、もしくは遅くなってしまうだろう。
ハニーポッターとして軸がぶれていてはいけない。

もちろん当初の目的を達成しつつ、ハニーポット運用で得たスキルを伸ばすのは大賛成だ。いわゆる T 型人材を目指すことになる。
すでにセキュリティ技術のある領域(脆弱性診断やフォレンジックなど)について習熟していて、さらに他の分野を知ろうとするには、ハニーポットは最適な技術1つだ。

ハニーポットと初心者

ハニーポットは魔法の箱ではありません。
マニュアルに沿ってハニーポットを構築できたとする。やったね。おめでとう。あなたはハニーポッターだ。それは認めよう.

でも本当に大変なのは、その次。つまりハニーポットで得たログの分析だ。

たしかにハニーポットは、攻撃をログとして保存してくれる。
でもログに記録されている攻撃が、どのような目的で、何の脆弱性を狙っているのかは教えてくれない。
そこを判断し考えるのは、ハニーポッターの役割だ。ハニーポットは、きっかけを与えてくれるにすぎない。

ここで IT の初心者と素人を定義して考えてみよう。
初心者とは、勉強を始めたばかりの人であって、ゼロではなく何かしら知っている人と定義しよう。
素人とは、経験の無い人であって、何も知らない人と定義しよう。

たとえば基本情報技術者試験や LPIC Level 1に合格した初心者であれば、TCP や IP アドレスといった言葉の意味は理解できると思う。
一方、デジタルネイティブ世代でスマホしか触ったことがない素人がファイル、ディレクトリ、パスを理解するのには時間がかかると思う。

一度でも OS をインストールした経験や、何らかのサーバ運用をしたことのあるハニーポット初心者は、ログ分析にとっつきやすい。
たとえば、ソフトウェアのパッチをダウンロードするときに wget コマンドを使った経験があって、ハニーポットのログに wget コマンドが含まれていたら、攻撃者が何らかのファイルをダウンロードさせようとしていることがわかる。
一方、セキュリティ技術だけではなく、IT に素人だと、おそらくハニーポットを運用しても面白くないだろう。BASE64 が、データを加工する方式であることを知らなければ、そもそもログ分析のスタート地点に立っていない。ハニーポットの運用費用がかさむばかり・・・。

ハニーポット運用してみたけど、ぜんぜんわからん。という思考は、もしかすると、基礎知識や周辺知識を学んでからのほうが楽しめるのかもしれません。

とはいえ、誰もが最初は素人なのだから、ここは先駆者が手を差し伸べて助けてあげるべきだと思う。
マニュアルやブログ記事を書いたり、SNS や勉強会でコミュニケーションを取るとかね。知識量やスキルレベルがわからないので、一から十まで教えることはできないけれども。
構築したハニーポットを削除するまではハニーポッターだ。もう少し遊んでみるのも悪くないかもよ。終わるまでは終わらないよ。

ハニーポットとお布施の心

梅雨のある日、加賀愛が歩いていると、ダンボールで生活している元・関内太郎が座っていた。
雨に濡れる彼を見かねた加賀は、差していた傘を彼に差し出す。
彼は、じっとこちらを見つめるのみで、反応がない。
そして、つい口走ってしまうのです。
「すこしは雨露をしのげそうですか」と。
次の瞬間、はっと我に返り、その場を小走りに立ち去る加賀。
その様子を見ていた絶望先生は、「どうしたのですか。良い行いをしたじゃないですか」と声をかけます。
加賀は答えました。
「私は”ありがとう”という感謝の言葉の見返りを求めたのです。」

(コミック)さよなら絶望先生 第十集 98話『恩着せの彼方に』
(アニメ)俗・第05話 C パートの『恩着せの彼方に』より。

絶望先生いわく、これはお布施の心というようです。

セキュリティ情報を扱う人は、2つの立場があります。
1つは情報を収集する立場、もう1つは、情報を発信する立場。もちろん入れ替わることも、両立することもあります。
とりわけハニーポッターは、脆弱性情報を収集しつつ、ログ分析した結果を情報公開する場合があり、両立している人がいます。
ログ分析だけでも大変なのに、さらに文章を書き、体裁を整え、SNS やブログに投稿する。結構、労力がかかります。
その内容がバズれば苦労も報われるかもしれません。ただ世の中は情報が溢れていて、よりセンセーショナルで、心揺さぶられる内容で、炎上するような内容のほうが拡散されてしまい、なかなか個人の投稿が注目されることはないでしょう。
事実、マサチューセッツ工科大の研究チームによると、デマがリツートされた割合は、真実より1.7倍だったと報告しています。
だからといって情報発信をやめてしまうのは、あまりにもったいない。ハニーポッターにしか、ログ分析をしたあなたにしかできない情報発信があると思います。
世の中には、人に与えるギバー、人から与えられるテイカー、半々のマッチャーというタイプがあるそうです。

この中で、もっとも失敗やすいのはギバーなのですが、もっとも成功するのもギバーとのこと。

ハニーポットで得た情報をどうするかはハニーポッター次第。煮るのも焼くのもお好きにどうぞ。
ハニーポッターになったから何かしなくちゃという思考パターンは、逆にハニーポット運用を続けられなくなる可能性が高いです。

別に注目されなくてもいいじゃないですか。書きたいことがあるから書く。それで理由は十分。ツイートのワンショットでも OK
反応がなくとも、ギバーとして積み重ねることによって得られるものがあります。
少なくとも、日本のハニーポッターが書いたツイートや記事は、僕が見てますよ。

 

おわりに

前々から考えていたことを文章に起こしてみたら、なかなかの長文ポエムになってしまった。
読み終わったあなた、どうか怒らないで。怒りからは何も生まれません。
他にも、ハニーポットと芸術とかハニーポットと筋トレなど書きたいことがあるけど、それは別の機会にすることにします。

最後に、あなたはなぜハニーポットを運用するのですか?

 

Written by 森久

12月 2nd, 2018 at 1:00 pm

Posted in Honeypot,その他