特集ハッカーたちは交通機関のシステムに侵入し、気づかないうちに旅客列車を壁に激突させていた。この事件が新聞で報じられなかった唯一の理由は、このシステムが2015年に、スヌーパーや犯罪者が脆弱な交通システムへの攻撃にどこまで踏み込むかを試すために作られた、完全に架空のネットワークだったからだ。
「HoneyTrainは、攻撃者の道徳的限界を分析する上でも素晴らしい実験でした」と、HoneyTrainとして知られる偽の列車システムの構築に協力したHoneynet Projectの最高研究責任者、ルーカス・リスト(@glaslos)氏は語る。「攻撃者は列車を脱線させたり、全速力で行き止まりまで走らせたりしました。」
2週間にわたって、実際に動く模型の列車や実際の駅の防犯CCTVカメラの映像を備えたHoneyTrain [PDF]は、なんと270万件もの攻撃を受けた。
これらの攻撃は、攻撃者を観察することを目的とした意図的な欺瞞行為である「ハニーポット」の明白な実例である。
この手法は、情報セキュリティ分野で広く利用されています。これは主に、世界23の支部を通じてハニーネットの維持・推進を行っている、高く評価されている非営利のセキュリティイニシアチブであるハニーネット・プロジェクトのおかげです。ハニーポットや、より大規模で複雑なハニーネットは、攻撃者を誘い込み、そのツールや戦術を明らかにするための調査ツールとして広く利用されていますが、企業ネットワークの防御線としても機能しています。
ハニーポットの仕組みは次のようになります。ハッカーは、企業の社内ネットワーク上にある、パッチが適用されていない、忘れ去られたサーバーだと勘違いして侵入し、特権を持つActive Directoryアカウントを一箇所から取得し、ユーザーの活動を示すトラフィックらしきものを監視します。ハッカーにとって、これは数百万ドル規模の企業への入り口のように見えます。
しかし、それはすべて幻影だ。彼らがアクセスしたサーバーはすべて、企業のセキュリティ担当者が攻撃者に企業ネットワークへの侵入を確信させるために綿密に準備した偽物だった。攻撃者は時間を無駄にしただけでなく、さらに悪いことに、攻撃手法を露呈してしまった。中には、カスタムマルウェアを無駄にしてしまった者もいる。
そして、それはまさにハニーポットの運営者が望んでいる方法なのです。
「我々は敵の潜在的な標的に見えるシステムを提供し、その戦術、技術、手順に関する情報をできるだけ多く収集しようとしている」とプロジェクトのルーカス・リスト氏は語る。
セキュリティ研究者がハニーポットを好むのは、ハニーポットを使用すると、無効化または破壊しようとする人々や、無数の無害な好奇心を持つ人々を誘い込むために、現実世界の重要なシステムに似たネットワークを作成できるためです。
HoneyTrainはそうした試みの一つですが、他にも多くの事例があります。研究者たちは、医療機器、ガソリンスタンド、SCADAシステム、そしてもちろん、セキュリティが極めて低い家庭用ルーターへの侵入を企むハッカーの存在を明らかにしています。
HoneyTrainハニーポット。画像: Sophos。
