著者
森下 瞬 上野 航 田辺 瑠偉 カルロス ガニャン ミシェル ファン イートゥン 吉岡 克成 松本 勉
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.61, no.9, pp.1397-1413, 2020-09-15

インターネット上で発生している攻撃を観測するために,オープンソースハニーポットの研究や運用が行われている.しかし,オープンソースハニーポットの特徴は攻撃者によって検知可能であり,回避される可能性がある.本研究では,あらかじめ作成した20種類のハニーポット検知用のシグネチャを用いて,攻撃者が容易に検知可能なバナー等の応答をカスタマイズしていない14種類のオープンソースハニーポットの利用状況を調査する.そして,現状の運用者のハニーポット検知に対する問題意識を把握し,注意喚起により検知への対策を促進することを目指す.評価実験の結果,637のAS上で運用される19,208のハニーポットが容易に検知可能な状態で運用されていることが判明した.多くが研究機関のネットワークで運用されていたが,企業やクラウドでも運用されていた.そのうちのあるハニーポット群は著名なセキュリティセンタで実運用されていることが判明した.このうち,11組織のハニーポット運用者に連絡をとったが,4つの組織からしか返答が得られなかったことから,ネットワークやハニーポットの管理に十分な注意が払われていない可能性がある.加えて,ある国立研究機関のネットワークの運用者は,ハニーポット検知の問題を認識していなかった.また,いくつかのハニーポットが攻撃者によって,マルウェアの配布に悪用されている事例を発見した.検知されたハニーポットの運用者に通知を行い,シグネチャベースの検知を回避するためのカスタマイズを推奨した.同様に,ハニーポットの開発者に対しても通知を行い,本研究成果を共有した.そのうちの開発者の1人は我々の開示を考慮し,ハニーポットのリポジトリにカスタマイズの記述を追加した.このように,本研究はハニーポットの適切な運用に貢献できたと考える.