ハニーポット

私は現在ギリギリ大学生なのですが、理系という事もあり卒業研究で最近忙しくてスト5配信をはじめとするゲーム配信が少なくなっていました。今日は私が研究していることについて軽く紹介しようと思います。

 

まず研究背景ですが、近年、サイバー攻撃は多様化、巧妙化しています。さらに2020年ごろからコロナ禍によってリモートワークが増加したことによって、企業・機関や大学のデーターベースを標的としたリモートワーク環境の脆弱性を利用したサイバー攻撃が多発していて、サーバーのセキュリティ対策が急務となっています。セキュリティ対策としてハニーポットという、ネットワーク上に脆弱な状態の機器を設置することでサイバー攻撃を誘引してそのログ(攻撃者の足跡)から相手の情報やサイバー攻撃の種類なんかを特定するシステムがあります。一方で、コロナ化を背景としてこれらのデータ収集、分析をリモート環境で行う需要も高まっているため、これを満たす環境を構築する手法を提案することを目的とします。

 

提案手法や環境説明は書いたら1000文字余裕で超えるのですっ飛ばしまして、とりあえずIPアドレス(パソコンの住所)が固定されている状態のPCにハニーポットを設置してサイバー攻撃を誘引してみました。設置してから観測した期間は6月1日~6月30日の1か月間だったのですが、1400件以上のサイバー攻撃が行われていました。PCはファイアウォールの内側に設置していたので攻撃はすべてファイアウォールを抜けてきたという事になります。怖いですね。

 

ここで2つ例を出して説明します。大学で使ったスライドを張り付けてるので右下にボイス入ってるマーク出てますが気にしないでください。

いきなりわけわからん文字列がバーッと出てきましたね。頭痛くなる方もいると思いますが、赤いラインの部分を見てください。wgetというのはいわゆるコマンドと呼ばれるものでコンピュータに命令するときに使います。何をさせるコマンドかというと、指定したURLからファイルをダウンロードさせるコマンドで、Mozi.mというのは2017年ごろから広まったIoTデバイスを標的にボットネット(他人のコンピュータを自分のものにして操る系のやつ)を構築するMiraiというマルウェアの亜種ですね。つまりは悪意を持ってマルウェアをダウンロードさせようとするサイバー攻撃という事です。

 

2つ目はこちらです。先ほどのようなわけわからん文字列をデコード(暗号解読的な)すると下のデコード後のような文字が出てきます。これはちょっと読みやすいですね。User-Agentには、ネット利用者が使用しているOS・ブラウザが表示されていて、ちらっと見るとWindows10とGoogleChromeを使ってるようだなというのが見て取れると思います。ですが、それだけではありません。クロームのバージョンを見てみると、78.0.3904.108となっていますね。このバージョンのクロームが公開されたのは2019年の11月なので、こんな古いバージョンを普通の人は使いません。つまり、何かしらの脆弱性が攻撃者にとって都合がよいバージョンだから使用されているか、このバージョンでツールを用いるために適しているバージョンという事ですね。

 

こんな感じで分析をすることで攻撃者の情報や攻撃目的なども分かるわけです。9月中旬までに完成させる予定なので、もうこの話題書く方も読むほうも難しすぎて疲れるので出さないと思いますが、もしかすると続編が出るかもしれません。