ハニーポットとは

ハニーポットとは、偽の攻撃標的を使用してサイバー犯罪者をおびき出し、本物の標的から遠ざけるサイバーセキュリティの手法です。また、攻撃者のアイデンティティ、手法、動機に関するインテリジェンスも収集します。

ハニーポットは、ソフトウェアアプリケーション、サーバー、ネットワーク自体など、あらゆるデジタル資産をモデル化できます。これは、モデルの構造、コンポーネント、コンテンツを真似て、意図的に本物の標的そっくりになるように作成されます。ハニーポットの目的は、攻撃者に本物のシステムにアクセスしたと思い込ませて、その制御された環境内に攻撃者が長く留まるようにすることです。

ハニーポットはおとりとなって、サイバー攻撃者の注意を本物の標的からそらします。また、攻撃者の侵入の試みを使用してその技術、能力、巧妙さを評価する偵察ツールにもなります。

ハニーポットから収集されたインテリジェンスは、実際の脅威を基にサイバーセキュリティ戦略を進化、向上させ、既存のアーキテクチャ、情報、ネットワークセキュリティの潜在的な盲点を特定するために役立てることができます。

ハニーネットとは

ハニーネットとは、複数のシステム、データベース、サーバー、ルーター、およびその他のデジタル資産で構成されている、本物のネットワークそっくりに作られたハニーポットのネットワークです。ハニーネット（ハニーポットシステム）は、無秩序に広がっていくという典型的なネットワークの性質を模倣しているため、一般にサイバー犯罪者を長期間引き留めておくことができます。

ハニーネットの規模を考えると、環境を操作して攻撃者をシステムのより深い部分にまで誘い込み、攻撃者の能力やアイデンティティに関するより多くのインテリジェンスを収集することもできます。

サイバーセキュリティにおけるハニーポットの機能

ハニーポットの基本的な前提として、組織が防御しようとするネットワーク標的そっくりな設計であることが必要です。

支払いゲートウェイに似せたハニーポットの罠を作成し、支払いゲートウェイに、エンコーディングされたクレジットカード番号や銀行口座情報といった大量の個人情報と取引の詳細を含めると、ハッカーが好んで狙う標的となり得ます。また、ハニーポットまたはハニーネットはデータベースに似せて作ることもできます。これは、知的財産 (IP)、営業秘密、またはその他の価値のある機密情報を収集しようとするアクターを誘い出します。個人の評判を傷つけることや、ランサムウェアを仕掛けることが目的の攻撃者を罠にかけるために、評判を傷つける可能性のある情報や写真を仕込んだハニーポットもあります。

サイバー犯罪者がネットワーク内に入れば、その動きを追跡して手法と動機を詳細に理解できるようになります。組織はこれを利用して、将来本物の標的に対して行われる同様の攻撃を阻止するために、既存のセキュリティプロトコルを改良することができます。

ハニーポットには、多くの場合、誘因効果を高めるために、意図的だが必ずしも明白にはわからないセキュリティの脆弱性が仕込まれています。デジタル攻撃者の多くが高度な技術を持っていることを考えると、組織はどの程度簡単にハニーポットにアクセスできるようにするかを戦略的に決定する必要があります。セキュリティが不十分なネットワークでは、熟練した攻撃者を騙すことができず、不正なアクターが偽情報を提供したり、環境を改ざんしてツールの効果を低下させたりする可能性すらあります。

サイバーセキュリティでハニーポット使用する際の利点とリスク

ハニーポットは、包括的なサイバーセキュリティ戦略の重要な要素です。主な目的は、既存システム内の脆弱性を露出させ、ハッカーを本物の標的から遠ざけることです。さらに、罠にかかった攻撃者から有用なインテリジェンスを収集できることを考えると、ハニーポットは、使用されている技術や標的にされることの多いアセットに基づいて組織のサイバーセキュリティの取り組みに優先順位を付け、重要な作業に集中するために役立てることもできます。

ハニーポットのその他の利点には、次のようなものがあります。

• • 分析が容易。ハニーポットのトラフィックは不正アクターのものに限定されます。そのため、情報セキュリティチームは不正アクターを正当なWebトラフィックと区別する必要がありません。すべてのアクティビティは、ハニーポット内の悪意のあるアクティビティと見なすことができます。そのため、サイバーセキュリティチームは、サイバー犯罪者を正規のユーザーと区別することではなく、サイバー犯罪者の振る舞いを分析するのに多くの時間を割くことができます。
  • 継続的な進化。ハニーポットは、一度展開されるとその後はサイバー攻撃の方向をそらし、継続的に情報を収集することができます。このようにして、サイバーセキュリティチームは、行われる攻撃の種類やその進化を記録できます。組織はこの情報を利用して、環境のニーズに応じてセキュリティプロトコルを変更することができます。
  • 内部の脅威の特定。ハニーポットでは、内部および外部両方のセキュリティの脅威を特定できます。サイバーセキュリティ手法の多くは組織の外部からのリスクに注目していますが、ハニーポットは、組織のデータ、IP、その他の機密情報へのアクセスを試みる内部のアクターもおびき出すことができます。

ハニーポットは、包括的なサイバーセキュリティ戦略における要素の1つであることを忘れてはなりません。ハニーポットを展開しただけでは、さまざまな脅威やリスクから組織を十分に保護することはできません。

サイバー犯罪者も、組織と同じようにハニーポットを使用することがあります。ハニーポットがおとりであることに気付いた不正アクターは、本物のシステムへの本物の攻撃から注意をそらすために、多数の侵入を行ってハニーポットに過剰な負荷をかけます。ハッカーは、意図的にハニーポットに偽情報を提供することもできます。そうすれば、ハッカーのアイデンティティは謎のままになり、アクティビティの分析に使用されるアルゴリズムや機械学習モデルを混乱させることができます。組織にとっては、さまざまなモニタリング、検知、修復ツールを展開し、組織を保護するための予防策を講じることが重要です。

ハニーポットには、おとり環境の設定ミスという別のリスクもあります。この場合、熟練した攻撃者は、おとりからネットワークの別の場所へとラテラルムーブメントする方法を見つける可能性があります。ハニーポットの設計においては、ハニーウォールを使用して、すべてのハニーポットトラフィックの入口と出口を制限することが重要です。これが、組織でファイアウォールやクラウドベースのモニタリングツールなどの防御手法を有効にして、攻撃を回避し、侵入の可能性を迅速に特定できるようにする必要があるもう1つの理由です。

本番用ハニーポットと調査用ハニーポットの比較

ハニーポットは、さまざまな方法で分類できます。最も基本的なレベルでは、目的によってハニーポットを本番用ハニーポットまたは調査用ハニーポットとして分類します。

本番用ハニーポット

本番用ハニーポットは、最も一般的な種類のハニーポットです。企業はこのおとりを使用して、本番ネットワーク内のサイバー攻撃に関する情報とインテリジェンスを収集します。収集する情報には、IPアドレス、侵入が試行された日時、トラフィック量、その他の属性があります。

本番用ハニーポットの設計と展開は比較的シンプルですが、生成されるインテリジェンスの点では、調査用ハニーポットほど高度ではありません。本番用ハニーポットは、企業や私企業、また芸能人、政治家、ビジネスリーダーといった著名人によって最もよく使用されます。

調査用ハニーポット

調査用ハニーポットは、攻撃者が使用する特定の手法や技術に関する情報と、そのような戦術に関連してシステム内に存在する潜在的な脆弱性の情報を収集することを目的としています。

調査用ハニーポットは通常、本番用ハニーポットよりも複雑です。一般に、組織のセキュリティリスクをより詳しく理解するために、政府機関、インテリジェンスコミュニティ、調査機関によって使用されます。

複雑度によるハニーポットの分類

複雑度でハニーポットを分類することもできます。最も一般的なのは、対話レベルに応じたおとりの分類です。

低対話型ハニーポット

低対話型ハニーポットは、比較的少ないリソースを使用して、攻撃者に関する基本情報を収集します。このようなハニーポットは設定と保守が比較的容易です。また、ほとんどの本番用ハニーポットは低対話型ハニーポットと見なされます。

かなり単純であることから、攻撃者の注意を長時間引き付けられる可能性は低いです。つまり、おとりとして特に効果的であることはあまりなく、生成される攻撃者に関するインテリジェンスも限定的です。多くの攻撃者が巧妙さを増していることを考えると、熟練した攻撃者の中には低レベルのおとりを見抜いて回避し、さらには偽情報を与えてそのようなおとりを悪用する者もいる可能性があります。

高対話型ハニーポット

高対話型ハニーポットは、複数のデータベースなど、攻撃者が探索できる標的のネットワークにより長時間サイバー犯罪者を引き付けることを目的としています。これにより、サイバーセキュリティチームは、攻撃者の動作、技術、またアイデンティティに関するヒントまで、詳しく理解することができます。高対話型ハニーポットはより多くのリソースを消費し、組織が既存のセキュリティプロトコルを調整するために使用できる、より高品質で関連性の高い情報を提供します。ほとんどの調査用ハニーポットは高対話型ハニーポットと見なされます。

高対話型ハニーポットにはある程度のリスクもあるため、適切なモニタリングと封じ込めが必要です。「ハニーウォール」（ハニーポットの周囲に設けられた境界）を十分なセキュリティで保護し、入口と出口を1か所のみにする必要があります。こうすることで、サイバーセキュリティチームはすべてのトラフィックをモニタリングして管理し、ハニーポットから実際のシステムへのラテラルムーブメントを防ぐことができます。

デセプションテクノロジー

ハニーポットの新たな分類基準の1つに、デセプションテクノロジーという区分があります。このセキュリティ手法では、人工知能 (AI)、機械学習 (ML)、およびその他のデータ起点型の高度なテクノロジーなどを使用した、インテリジェントな自動化をハニーポットに適用して、データの収集と分析を自動化します。デセプションテクノロジーを利用することで、組織は情報の処理速度を高め、この取り組みをより複雑なおとり環境に拡大することができます。

ハニーポットの種類

ハニーポットは、検出するアクティビティの種類によって分類することもできます。

Eメールトラップまたはスパムトラップ

Eメールトラップまたはスパムトラップは、自動のアドレスハーベスターやサイトクローラーのみが検出できる非表示フィールドに偽のEメールアドレスを仕込みます。このアドレスは正当なユーザーには表示されないため、そのアドレスに送信されるすべてのメッセージをスパムとして分類できます。組織は、その送信者とIPアドレス、またその内容に一致するすべてのメッセージをブロックできます。

おとりデータベース

おとりデータベースは、組織がソフトウェアの脆弱性、アーキテクチャのリスクが高い部分、または不正な内部アクターをモニタリングするために利用する、意図的に脆弱にした偽のデータセットです。おとりデータベースは、攻撃者が使用するインジェクション技術、認証情報のハイジャック、特権の悪用に関する情報を収集します。この情報をシステムの防御やセキュリティポリシーに組み込むことができます。

マルウェアハニーポット

マルウェアハニーポットは、ソフトウェアアプリケーションまたはアプリケーションプログラミングインターフェース (API) を模倣し、脅威のない管理された環境でマルウェア攻撃を誘い出します。このようにすることで、情報セキュリティチームは攻撃手法を分析し、マルウェア対策ソリューションを開発または強化して、こうした特定の脆弱性、脅威、またはアクターに対処することができます。

スパイダーハニーポット

スパイダーハニーポットはスパムハニーポットと同様に、自動クローラーのみがアクセスできるWebページやリンクを作成して、Webクローラー（スパイダーとも呼ばれます）を罠にかけることを目的としています。これらのスパイダーを明らかにすることで、組織は悪意のあるボットと広告ネットワーククローラーをブロックする方法を理解できます。