事業 / Service

このところNII-SOCSが利用している脅威インテリジェンスでは、大学のネットワークに設置されたサイバー攻撃観測装置(ハニーポットやDarknet)の存在を明記した情報が散見されるようになりました。また、提携している外部のセキュリティ機関からも、これらの装置等を始点とした「観測妨害を意図した攻撃」や「実質的に乗っ取られた状態での他機関への攻撃」についての連絡を受けるようになりました。 今後新たに運用される観測装置も含め、各機関において、サイバー攻撃観測装置は適切に運用いただくようお願いします。

悪意のある攻撃者に、設置した機器がハニーポットと特定される可能性が高い事例

悪意のある攻撃者に、設置した機器がハニーポットと特定される可能性が高い典型的な事例として、以下のような運用が挙げられます。

• ネットで公開されているハニーポットキットをそのまま使う
• 実際の利用形態から大きく外れた運用を行う
• 使用されているようには見えない機器を同一セグメントに連続して設置する
• 観測した攻撃に応じて挙動を頻繁に変える
• 攻撃抑止機能の不備により、攻撃プログラムの指示に従った外部通信を行う

NII-SOCSでは、ハニーポットの情報が攻撃者グループ間で交換され、妨害を仄めかす議論があるとの情報提供を散発的に受けています。

Darknetを特定される事例

Darknetを特定される事例として、IPアドレス単位やセグメント単位で過去数年分の流量情報の変動を提供するサービスを利用したものがあります。 この情報に基づき、攻撃者グループがDarknetと看做している議論があるとの情報提供を受けています。

NII-SOCSで観測された攻撃

NII-SOCSでは、これらへの妨害攻撃として、

• 他者が運用するサイバー攻撃観測装置への攻撃を指示するプログラムの実行
• 乗っ取った機器や他者が運用するハニーポットからの攻撃

などを観測しています。 観測装置間の同士撃ち状態を確認することもあります。その結果、ハニーポットのIPアドレス、当該IPアドレスが属する/24(IPv4)や/64(IPv6)、さらには組織全体について「高リスクハニーポット」「高リスク組織」という情報を掲載した脅威情報も出てくるようになりました。 また、脅威情報のうち特にOSINTで検索可能な情報は半永久的に残るため、装置撤去後も妨害攻撃が継続し、そのIPアドレス(ネットワークセグメント)が安定して利用できなくなる状況も発生しています。

NII-SOCSからお願い

このため、サイバー攻撃観測装置の設置に際しては、適切な管理および周辺の実機との乖離具合に注視した運用をお願いします。

関連サイト

• 「大学間連携に基づく情報セキュリティ体制の基盤構築」

お問い合せ先

国立情報学研究所NII-SOCS:
soc-office [at] nii.ac.jp