ハニポ作ってみることにした
ボスの紹介でとあるセキュリティのコミュニティに参加してます。
そこで、ハニーポット(ハニポ)を作って運用してみようWGがあるので、勉強がてら自分でも作ってみようと思い立った。
ハニポとは何か
ハニーポット (英語: Honeypot) は、コンピュータセキュリティ用語としては、不正アクセスを受けることに価値を持つシステムのことを指す。元来は「蜜(の詰まった)壷」の意味で、何らかの有益そうな情報や資源がありそうな場所を用意して、それにつられた者を観察したり、肝心な部分で被害を出さないために目をそらせたり、コンピュータ・フォレンジックスを行うための証拠を集めたりする、一種のおとり手法に使われる。手法そのものをハニーポットと呼ぶこともある。
昔っからハニポはありました。研究もそうだし、趣味でやってる人も多いです。
かく言う自分も大学のときにハニポ的なものを作ってました。
簡単に言うとサイバー攻撃の挙動を調べようというものです。
モチベーション
いくつかありますが、大きくは以下の3点です。
- 専門家と喋れるサイバーの知見を持つ
- 最近のサイバー空間の状況を肌で感じる
- テクノロジーに触れる
この3つが達成できるなら何でも良かったのですが、今回はハニポということで手を出してみようと思います。
では、どんなことが分かってくると嬉しいのだろうか。単純に分析しましたではつまらないので、もう少し深堀します。
白浜シンポジウムに参加したとき、MIRAIのネタがかなり賑わってました。
大規模DDoS攻撃を引き起こしたIoTボットネット:「Mirai」ソースコード徹底解剖−その仕組みと対策を探る (1/4) - @IT
MIRAIはTELNETを悪用というか狙ったマルウェアでIoT機器でボットネットを構築するもいうもの。
研究者も自分でハニポ作って調査してるらしい。
MIRAIは一例ですが、攻撃者がは標的に対して何を仕掛けてくるのか、サーバ上でどんなファイルとかディレクトリを見に行くのか。それが分かってくると、自ずと対策の観点も見えてくるはず。権限周りとか、認証の仕組みとか。
それをリアルタイムでフレームワーク化し、最新のものにアップデートしていく。これは商材になるはず!
ということで、まずは最新の脅威を知り、対策の勘所を押さえていくことから始めたいと思います。
環境の構築
この辺を参考に。
EC2上にHoneypot(T-Pot)をインストールして、サイバー攻撃をELKで可視化してみた - Qiita
目的と手段が逆転しないように、頑張ってみようと思います。
AWSに怒られるかもしれませんが、まぁやってみます。
以上