Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
普通のハニーポットの話
ハニーポッター(@k_morihisa )
2015年1月22日 ささみ(#ssmjp)勉強会発表資料
$ whoami
• 森久 和昭(@k_morihisa )
• セキュリティエンジニア・アナリスト
• 趣味でハニーポットの運用をするハニーポッター
!
• morihi-soc.net http://www.morihi-soc.net/
2
ハニーポット
※ハニーポット(Honeypot)です.ハニーポッドではありません.
IT 業界(セキュリティ用語)の
の普通の話
ハニーポットとは
「ハニーポット (英語: Honeypot) は、

 コンピュータセキュリティ用語としては、

 不正アクセスを受けることに価値を持つシステムのことを指す。」
!
Wikipedia ハニーポットより引用
http://ja...
ハニーポットとは
「ハニーポットとは、
 攻撃者の悪意を詳らかにするシステムである.」(森久解釈)
!
攻撃者の悪意とは
•パスワードやサーバ内部ファイル等の機密情報の読み出し
•バックドアの設置
•ログインアカウントの不正な作成
•データ窃取...
ハニーポットを分けてみる
• 仕組み的な違い
• 環境の違い
6
ハニーポットの分類(仕組み)
• サーバ側のハニーポット
→外部からの攻撃を待ち受ける方式
!
• クライアント側のハニーポット
→不審なサーバへアクセスする方式
7
ハニーポットの分類(環境)
• 高対話型のハニーポット
→実在環境を利用して攻撃を待ち受ける方式
!
• 低対話型のハニーポット
→仮想環境を利用して攻撃を待ち受ける方式
8
ハニーポットの分類表
9
サーバ型 クライアント型
高対話型
Apache+WordPress
SSH
Windows XP +
FlashPlayer +

Java + IE
低対話型
Nepenthes
Dionaea
Glastopf
...
ハニーポット運用でわかること
•危機感
•攻撃者の傾向分析
•攻撃者の特徴分析
10
ハニーポット運用でわかること1
• サイバー攻撃は遠い世界の話なのではなく,

「今そこにある危機」であることを実感できる
11
ハニーポット観察記録(19)	

http://www.morihi-soc.net/?p=303
※愉快犯と考え...
ハニーポット運用でわかること2
• 2つ以上のハニーポットを同時並行で運用すると

攻撃の傾向がわかる
12
0
10
20
30
40
50
60
70
80
2
0
1
3
-1
02
0
1
3
-1
12
0
1
3
-1
22
0
1...
ハニーポット運用でわかること3
• 長期の運用で攻撃者の特徴がわかる
13
↑特定の IP アドレスから,Apache Magica の攻撃がずっと続いている(;´∀`)
( ^ω^)・・・
14
ハニーポット運用の注意点
• 怒られないように!
• ハニーポット自体が脆弱なこともある
• ハニーポットを検出する技術がある
!
• 標的を絞った攻撃の観測には向いていない
15
ハニーポット検出に関する参考情報	

Detecting Di...
ハニーポット 参考文献
• The Honeynet Project
• ハニーポットの情報源といえばココ.

https://www.honeynet.org/
!
• Proactive detection of security inci...
インシデントと共に生きる
• ありがとうございました.
• 質疑応答
17
Upcoming SlideShare
Loading in …5
×

普通のハニーポットの話

4,098 views

Published on

#ssmjp 2015/01 ささみ勉強会の発表資料です.ハニーポットの紹介です.

Published in: Internet
  • Be the first to comment

普通のハニーポットの話

  1. 1. 普通のハニーポットの話 ハニーポッター(@k_morihisa ) 2015年1月22日 ささみ(#ssmjp)勉強会発表資料
  2. 2. $ whoami • 森久 和昭(@k_morihisa ) • セキュリティエンジニア・アナリスト • 趣味でハニーポットの運用をするハニーポッター ! • morihi-soc.net http://www.morihi-soc.net/ 2
  3. 3. ハニーポット ※ハニーポット(Honeypot)です.ハニーポッドではありません. IT 業界(セキュリティ用語)の の普通の話
  4. 4. ハニーポットとは 「ハニーポット (英語: Honeypot) は、
  コンピュータセキュリティ用語としては、
  不正アクセスを受けることに価値を持つシステムのことを指す。」 ! Wikipedia ハニーポットより引用 http://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%8B%E3%83%BC%E3%83%9D%E3%83%83%E3%83%88 4
  5. 5. ハニーポットとは 「ハニーポットとは、  攻撃者の悪意を詳らかにするシステムである.」(森久解釈) ! 攻撃者の悪意とは •パスワードやサーバ内部ファイル等の機密情報の読み出し •バックドアの設置 •ログインアカウントの不正な作成 •データ窃取や改ざん •マルウェア感染 等 ! 5
  6. 6. ハニーポットを分けてみる • 仕組み的な違い • 環境の違い 6
  7. 7. ハニーポットの分類(仕組み) • サーバ側のハニーポット →外部からの攻撃を待ち受ける方式 ! • クライアント側のハニーポット →不審なサーバへアクセスする方式 7
  8. 8. ハニーポットの分類(環境) • 高対話型のハニーポット →実在環境を利用して攻撃を待ち受ける方式 ! • 低対話型のハニーポット →仮想環境を利用して攻撃を待ち受ける方式 8
  9. 9. ハニーポットの分類表 9 サーバ型 クライアント型 高対話型 Apache+WordPress SSH Windows XP + FlashPlayer +
 Java + IE 低対話型 Nepenthes Dionaea Glastopf Kippo Thug ※記載のハニーポットは例示
  10. 10. ハニーポット運用でわかること •危機感 •攻撃者の傾向分析 •攻撃者の特徴分析 10
  11. 11. ハニーポット運用でわかること1 • サイバー攻撃は遠い世界の話なのではなく,
 「今そこにある危機」であることを実感できる 11 ハニーポット観察記録(19) http://www.morihi-soc.net/?p=303 ※愉快犯と考えられるが,公開されたばかりの脆弱性を狙った攻撃
  12. 12. ハニーポット運用でわかること2 • 2つ以上のハニーポットを同時並行で運用すると
 攻撃の傾向がわかる 12 0 10 20 30 40 50 60 70 80 2 0 1 3 -1 02 0 1 3 -1 12 0 1 3 -1 22 0 1 4 -0 12 0 1 4 -0 22 0 1 4 -0 32 0 1 4 -0 42 0 1 4 -0 52 0 1 4 -0 62 0 1 4 -0 72 0 1 4 -0 82 0 1 4 -0 92 0 1 4 -1 02 0 1 4 -1 1 CONNECT メソッドを用いた第三者中継攻撃の検知件数 ハニーポット1 ハニーポット2 ハニーポット観察記録(23) http://www.morihi-soc.net/?p=392 異なる IP アドレス帯のハニーポットにも関わらず 同じような攻撃検知傾向(件数)が見受けられる! 多い! 少ない
  13. 13. ハニーポット運用でわかること3 • 長期の運用で攻撃者の特徴がわかる 13 ↑特定の IP アドレスから,Apache Magica の攻撃がずっと続いている(;´∀`)
  14. 14. ( ^ω^)・・・ 14
  15. 15. ハニーポット運用の注意点 • 怒られないように! • ハニーポット自体が脆弱なこともある • ハニーポットを検出する技術がある ! • 標的を絞った攻撃の観測には向いていない 15 ハニーポット検出に関する参考情報 Detecting Dionaea Honeypot using Nmap http://blog.prowling.nu/2012/04/detecting-dionaea-honeypot-using-nmap.html ! Death By Magick Number – Fingerprinting Kippo 2014 https://cultofthedyingsun.wordpress.com/2014/09/12/death-by-magick-number-fingerprinting-kippo-2014/ 実際の脅威・攻撃傾向の参考資料:ラックのセキュリティレポート(JSOC INSIGHT) http://www.lac.co.jp/security/report/index.html
  16. 16. ハニーポット 参考文献 • The Honeynet Project • ハニーポットの情報源といえばココ.
 https://www.honeynet.org/ ! • Proactive detection of security incidents II - Honeypots • ENISA が 2012年にまとめた記事.貴重.
 http://www.enisa.europa.eu/activities/cert/support/ proactive-detection/proactive-detection-of-security- incidents-II-honeypots ! • Internet Infrastructure Review (IIR) • IIJ による季刊の技術レポート.マルウェアの活動観測プロジェク トMITFでの観測報告が含まれている.
 http://www.iij.ad.jp/company/development/report/iir/index.html 16
  17. 17. インシデントと共に生きる • ありがとうございました. • 質疑応答 17

×