www.morihi-soc.net

誰もが安心して使える、安全なインターネットを目指して

ハニーポットためのポジティブカウンターインテリジェンス

あけましておめでとうございます.今年もよろしくお願いします.

さて年が明けてからの最初の記事は,ハニーポット観察記録の番外編で,ハニーポットを運用する人の悩みの1つ(?)でもある,どうやって攻撃者にハニーポットを攻撃してもらうかについて書こうと思います.

ほかっておいても,Apache Magica のような無差別な攻撃は来ます.ただこれだけじゃ物足りないという人向けです.
複数のハニーポットを運用して得た実績の1つですが,ポジティブカウンターインテリジェンス(以下,PCI)*1をしてみてはいかがでしょうか.

PCI とは積極的諜報活動のことで,スパイや悪意ある者に対して,積極的に偽の情報を漏らし,本来の諜報活動を成り立たせなくする活動です.

参考:カウンターインテリジェンス(デジタル大辞泉)

 

ハニーポットのための PCI とはどういうことでしょうか.私は「検索サイトからハニーポットをたどれるようにすること」と考えています.

検索サイトは,何かしらの情報を含む Web サイトが登録されていて,キーワード検索によって検索した人に有益な情報を提供することが主目的です.通常の利用者は,探しものを素早く見つけたいと考えるでしょう.では攻撃者目線で考えると,攻撃者は何を見つけたいのでしょうか?

 

私は「攻撃対象を効率良く見つけたい」のではないかと思います.たとえば特定の CMS を使用しているかや,特定のミドルウェアを利用している Web サイトを見つけることです.Google であれば,Google Hacking とか呼ばれています.

(Joomla! で検索した結果のサイトでは JCE が動いているかもしれないとか,.action の拡張子を指定して検索した結果のサイトでは Struts2 が動いているとか...)

攻撃者はこの検索結果を利用することで,広大なインターネットから攻撃対象を絞り,リスト化し,攻撃してくるのではないでしょうか.もちろん攻撃前の予備調査は,検索サイトだけに留まらないので一例です.

ハニーポットのための PCI はこの検索結果を元に攻撃対象を絞り,リスト化するという点を利用します.つまりハニーポットは有益な情報を発信するサイトではないけれども,検索結果に混じらせることで,攻撃対象のリスト入りさせ攻撃を誘導します.

 

ではどうやって検索結果にハニーポットを混ぜさせることができるのか考えます.基本的には SEO と同じです.グローバル IP アドレスに紐づくドメイン名があり,被リンク数が多いことは,検索結果上位にランクインさせる常套手段ですね.

ポイントは,攻撃者が検索してそうな単語を含めるという点です.コンテンツとして意味は無いけど,攻撃対象になりそうなものをあえて公開しておきます.例えばサンプルページとかインストールページとか.もちろん攻撃の被害に合わないように注意する必要があります.

攻撃している人に聞いたわけではないので,本当に上記のような流れで攻撃してきているかは不明です.ただ,過去に見つけた BOT は特定の検索キーワードの結果を用いて,感染拡大の活動をするものがありました.また同一条件のハニーポットのはずなのに,ドメインや配置しているファイルの違いにより攻撃件数が数倍の開きがあったりしました.いずれにしても,まずは検索サイトのクローラーに見つけてもらうことが重要です.ドメイン名の登録から始めましょう.

 

なおハニーポットを会社の中や大学等の学校の中などに構築する場合は,必ずネットワーク管理者へ相談しましょう.ネットワークポリシーに違反する可能性があり,十分注意が必要です.

それでは今年もよろしくお願いします.

 

*1 さよなら絶望先生で知った.

Written by 森久

1月 1st, 2014 at 6:38 am