本ブログでは、近年その重要性が高まっている脅威インテリジェンス(Cyber Threat Intelligence: CTI)について、解説を行います。またさまざまな情報収集ソースの中から自社で1次情報を得られるハニーポットについて解説を行います。
その後ハニーポットで一定期間収集した実データを分析した結果を用いて、ハニーポットを設置することで得られるデータの紹介を行い、設置する意義について考える機会にしていただければと思います。
CTIは攻撃手法やIoC(Indicator of Compromise:「侵害の痕跡情報」)といった脅威情報そのものを指す言葉ではなく、それらを分析・評価し、実際のアクションにつながる形に整理された情報を指します。分析者はその点を意識して情報を分析し、CTIの作成・配布を行う必要があります。
Robert M. Lee, SANS Institute 2021, The Sliding Scale of Cyber Security, https://sansorg.egnyte.com/dl/GJEumszLQX Figure 5 – The Relationship of Data, Information, and Intelligence より抜粋
攻撃者や攻撃手法が日々進化している環境下では、攻撃を「待ち受ける」のではなく、攻撃者の動向を少しでも早期に認知し、より迅速に対策を行うことが重要となります。そのため、能動的に情報収集を行うことはますます不可欠になってきています。
CTIはまさにこのような活動を行う基盤となります。攻撃者が何を狙い、どのような手法を使うのか、実際に現実としてどのような攻撃が行われているのか、これらを理解することで限られたセキュリティリソースを効果的に活用し、結果としてセキュリティの向上につなげることができます。
経産省から公開されている「サイバーセキュリティ経営ガイドライン」や金融機関向けフレームワーク「CRI Profile」の中でも脅威情報の収集・重要性について記載があり、今後ますます重要な活動になっていくと考えられます。
一般的に、CTIは「収集→加工→分析評価→調査→対策実施」という循環的なプロセスで機能します。
質の高いインテリジェンスは、多様で信頼性の高い情報源から得られた情報をもとに分析した結果として生成されます。そのため、本稿では「収集」フェーズに着目して解説を行います。
脅威情報の収集には、いくつかの主要な方法があります。
OSINT(Open Source Intelligence)は、セキュリティベンダのブログや脆弱性情報、SNSなど、一般的に公開されている情報から脅威情報を収集する手法です。広範な情報を低コストで収集できる一方で、情報の真偽や信頼性を見極める必要があります。
商用脅威インテリジェンスツールでは、専門ベンダーが提供する高品質なIoCや攻撃者の分析レポートなどが得られます。情報によっては即座に活用できるなど利点がありますが、コストや得られた情報が自組織に特化した情報とは限らないなどの課題もあります。そのため、どのデータを活用して対策を行うべきかの判断は、各会社で行う必要があります。
業界のコミュニティやISACなどのクローズドなコミュニティでの情報収集も非常に重要な活動となります。同業他社や関連組織と脅威情報を交換することで、業界特有の攻撃トレンドを早期に把握できる可能性があります。
自組織で観測されたデータも重要な情報ソースとなります。各種ログやセキュリティ製品のアラート、そして今回取り上げる“ハニーポット”などがこれに該当します。自組織の環境で実際に発生している攻撃を直接観測することで、自社の置かれている環境を直接認知することができます。
例えば、金融業界においては、業界特有の攻撃手法やターゲティングパターンが存在するため、商用脅威インテリジェンスだけでは捉えきれない攻撃動向があります。具体例をあげるとすると、特定の金融機関を狙ったフィッシングキャンペーンや、業界固有のシステム(決済システム等)を標的とした攻撃手法は、自社環境での観測によってより詳細が把握できる可能性があります。
また、自組織で収集したデータには以下のような優位性があります:
これらの理由から、外部の脅威情報と自組織の観測データ(独自収集情報)を組み合わせた「ハイブリッド型インテリジェンス」の構築は、現代の目まぐるしく変化する脅威環境において有用な取り組みだと考えることができます。
ハニーポットとは、意図的に脆弱なサービスを模倣して設置し、攻撃者を誘引・観測するシステムです。実際のサービスではないため、ここへのアクセスは潜在的な攻撃行為として考えることができます。
生の攻撃活動を実際に収集し、自社のインテリジェンスへの昇華やセキュリティ対策に用いることができます。長期的には外部向けの情報公開を行い脅威情報の共有に向けた関係性構築も期待できます。
ハニーポットは高対話型、低対話型と分類され、それぞれにメリット・デメリットがあります。ツールも数多く存在するため、収集したい情報や目的によってどのツールを用いるか検討する必要があります。この時点で選択を誤ると収集したい情報が得られない可能性があるため注意が必要です。
また、適切な構成ではない場合、攻撃の踏み台となり、攻撃インフラとして利用されてしまう可能性があるため構成検討の際には注意が必要です。(ハニーポットの設置においては、ネットワークセグメンテーションやログ監視体制の確立など、適切なセキュリティ対策が不可欠です。)
実際にCowrieとGluttonの2つのハニーポットを2025年12月1日から2025年12月7日までの期間で稼働させ、どのような情報が得られるか観測しました。
|
ツール名 |
概要 |
目的の情報 |
|
Cowrie |
SSHおよびTelnetに対応している高対話型ハニーポット |
ログインに用いられる認証情報 ログイン後の挙動 |
|
Glutton |
特定プロトコルに依存しない低対話型ハニーポット |
ポートスキャンに関する宛先ポートと送信元IPアドレス |
初めにCowrieから得られた情報について記載します。
期間中合計9355回の認証の試行が確認されました。
認証に用いられたIDとPasswordについて、それぞれ上位10個記載します。
|
順位 |
ID(出現回数) |
Password(出現回数) |
|
1 |
root(7782) |
345gs5662d34(450) |
|
2 |
345gs5662d34(450) |
3245gs5662d34(445) |
|
3 |
admin(39) |
123456(189) |
|
4 |
oracle(37) |
123(62) |
|
5 |
user(30) |
abc123(25) |
|
6 |
pi(21) |
Host: 35.77.55.69:23(18) |
|
7 |
git(21) |
1(17) |
|
8 |
gitlab(19) |
1234(1234) |
|
9 |
GET / HTTP/1.1(19) |
password(14) |
|
10 |
test(18) |
raspberry(13) |
IDでは”root”や”admin”などの管理者権限を狙うようなIDでのログイン試行が多く確認されております。また、IoTを狙っていると推察される”pi”や”user”などの一般的なアカウント名も多く確認されております。
Passwordでは”345gs5662d34”などのランダムな文字列が上位に出ておりますが、”123456”や”abc123”などの平易なパスワードでのログイン試行も確認されています。初期パスワードやこのような平易なパスワードを用いる危険性が実際の攻撃活動を通して再認識できます。
ランキング外にはなりますが、”Admin@2024”といった、一見するとパスワードポリシーに一致しそうな文字列でのログイン試行も確認されているため、パスワードポリシーに左右されず推測しづらいパスワードの設定が重要となります。
ログイン後の挙動としてはシステムの情報収集のほかに永続性の確保が目的と推測されるパスワードの変更や、公開鍵を追加してSSH接続の経路の確保(バックドアの設置)が確認されています。
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa xxxxx"
echo "root:xxxxx"|chpasswd|bash
また、今回は外部から設置されたファイルの調査は対象外としていますが、/tmpディレクトリ配下のファイルに実行権限を付与し、実行している形跡も確認できました。
cd /tmp && chmod +x OZb5J3qk && bash -c ./OZb5J3qk
続いてGluttonから得られた情報について記載します。
期間中合計108,749件の通信が確認されました。日付別の観測数は以下になります。
|
日付 |
観測数 |
|
12/01 |
39,196 |
|
12/02 |
4,343 |
|
12/03 |
4,395 |
|
12/04 |
4,586 |
|
12/05 |
46,692 |
|
12/06 |
4,937 |
|
12/07 |
4,600 |
また、期間中に通信があった送信元IPアドレスと宛先ポートについて、それぞれ上位10個記載します。
|
順位 |
送信元IPアドレス(出現回数) |
宛先ポート(出現回数) |
|
1 |
137.184.12.175(38944) |
1433(2611) |
|
2 |
45.55.132.139(30674) |
22(1630) |
|
3 |
54.187.153.208(3389) |
80(1534) |
|
4 |
176.65.132.190(3038) |
113(907) |
|
5 |
16.145.30.14(838) |
8080(555) |
|
6 |
100.20.177.21(835) |
8728(429) |
|
7 |
192.197.201.114(823) |
5900(349) |
|
8 |
16.145.254.172(739) |
443(329) |
|
9 |
44.253.46.134(704) |
14355(328) |
|
10 |
3.130.96.91(645) |
5901(198) |
送信元IPアドレスで出現回数上位10個に位置しているIPアドレスはいずれも悪性判定しているベンダがあり、攻撃前の探索の可能性が高いと考えられます。
上位に位置している” 137.184.12.175”は12/05のみ、” 45.55.132.139”は12/01のみに確認されており、表3に記載した日別観測数では12/01, 12/05の2日において観測数が大きくなっておりますが、これらのIPアドレスからの通信が影響しています。何かしらの活動が行われた可能性が考えられます。
宛先ポートに着目すると1433番(SQL)、22番(SSH)など、情報窃取や侵入につながる可能性の高いポートに対する通信が多く確認されています。こちらも攻撃前の探索段階と考えられます。
また、通信の内容に着目すると、SquidやSQLなど特定のプロダクトの利用確認やGitを標的とした情報窃取を目的としたものなど、多岐にわたる通信が確認できました。
HTTP GET request handled: /squid-internal-mgr/cachemgr.cgi
HTTP GET request handled: /.git/config
もし自社で管理できていない領域で脆弱性のあるプロダクトを利用している場合や、攻撃につながるポートの開放が行われていた場合、このような攻撃者の行動により発見されてしまうと社内システムなどへの侵害や、結果として情報漏洩など被害が発生してしまう恐れがあります。
当社のASMサービスでは外部公開IT資産について、ポートの開放や利用ミドルウェアの確認など、インターネット外接点において攻撃の起点となりうる情報の調査を実施しております。
詳細は以下、当社サイトをご確認いただけますと幸いです。
ASMとは何か?|攻撃表面の管理のポイントと運用課題を徹底解説
Cowrie、Glutton、それぞれに対して通信を行ってきたIPアドレスを確認したところ、14個のIPアドレスが確認できました。この短期間の観測でも2つのハニーポットの通信を行ったIPアドレスが確認されました。ハニーポットに来る通信が全て悪意ある通信だと仮定するなら、攻撃者のインフラに共通性が見られたことになります。同じ属性を持つIPアドレスは警戒する価値がある可能性があり、この結果はハニーポットを設置して得られたデータから導かれる情報となり、独自のインテリジェンスとなる可能性があります。
前章で記載した結果からもわかる通り、短い期間の情報収集でも実際に攻撃行為が観測されています。脅威インテリジェンスはいきなり生まれるわけではなく、このような生データをもとに分析した結果から作成されます。導入・運用のしやすさや得られる情報の質・種類を理解しながら目的に応じた選択をし、各組織のセキュリティ対策を向上につなげていただければ幸いです。
当社ではマネージド脅威情報サービスや、商用脅威インテリジェンスツールを導入したもののうまく活用できていないお客様向けにご支援も行っております。
ご興味のある方はお気軽にお問い合わせください。