事業 / Service
学術ネットワークにおける適切なサイバー攻撃観測について(注意喚起)
このところNII-SOCSが利用している脅威インテリジェンスでは、大学のネットワークに設置されたサイバー攻撃観測装置(ハニーポットやDarknet)の存在を明記した情報が散見されるようになりました。また、提携している外部のセキュリティ機関からも、これらの装置等を始点とした「観測妨害を意図した攻撃」や「実質的に乗っ取られた状態での他機関への攻撃」についての連絡を受けるようになりました。 今後新たに運用される観測装置も含め、各機関において、サイバー攻撃観測装置は適切に運用いただくようお願いします。
悪意のある攻撃者に、設置した機器がハニーポットと特定される可能性が高い事例
悪意のある攻撃者に、設置した機器がハニーポットと特定される可能性が高い典型的な事例として、以下のような運用が挙げられます。- ネットで公開されているハニーポットキットをそのまま使う
- 実際の利用形態から大きく外れた運用を行う
- 使用されているようには見えない機器を同一セグメントに連続して設置する
- 観測した攻撃に応じて挙動を頻繁に変える
- 攻撃抑止機能の不備により、攻撃プログラムの指示に従った外部通信を行う
Darknetを特定される事例
Darknetを特定される事例として、IPアドレス単位やセグメント単位で過去数年分の流量情報の変動を提供するサービスを利用したものがあります。 この情報に基づき、攻撃者グループがDarknetと看做している議論があるとの情報提供を受けています。NII-SOCSで観測された攻撃
NII-SOCSでは、これらへの妨害攻撃として、- 他者が運用するサイバー攻撃観測装置への攻撃を指示するプログラムの実行
- 乗っ取った機器や他者が運用するハニーポットからの攻撃
NII-SOCSからお願い
このため、サイバー攻撃観測装置の設置に際しては、適切な管理および周辺の実機との乖離具合に注視した運用をお願いします。関連サイト
お問い合せ先
国立情報学研究所NII-SOCS:
soc-office [at] nii.ac.jp