ハニーポットとは
多くの企業は現在、ビジネス上の意思決定を行うために、ウェブスクレイピングによってインターネット上で得られる大量のデータに依存している。しかし、ウェブスクレイピングはしばしばいくつかの課題に直面し、そのような課題の一つがハニーポットの罠です。一方で、ハニーポットは組織のサイバーセキュリティにとっても重要な資産です。そこでこの記事では
多くの企業は現在、ビジネス上の意思決定を行うために、ウェブスクレイピングによってインターネット上で得られる大量のデータに依存している。しかし、ウェブスクレイピングはしばしばいくつかの課題に直面し、その一つがハニーポットの罠である。
一方、ハニーポットは組織のサイバーセキュリティにとっても重要な資産である。
そこでこの記事では、ハニーポットの概要を説明した後、ウェブスクレイピングにおけるハニーポットの罠を回避する方法について説明する。
ハニーポットとは何か?
ネットワーク・セキュリティにおけるハニーポットとは、侵害された正当なシステムに似せて設計されたおとりシステムのことである。その主な目的は、サイバー犯罪者をおびき寄せ、コンピュータ・システムの意図的な脆弱性を悪用するための時間と労力を稼がせることです。そして、社内のサイバーセキュリティ・チームに、攻撃者が侵害を試みたことを知らせます。
このような警戒態勢により、セキュリティ・チームはハニーポットを通じてライブ攻撃を調査し、脆弱性を緩和して攻撃者を引き離し、正規のシステムに危害を加えないようにすることができる。
ハニーポットはどのように機能するのか?
ハニーポットは、サイバー犯罪者を欺くためのアプリケーション・ソフトウェアとデータを備えた実際のコンピュータ・システムと同じであるため、意図的にセキュリティの抜け穴を開けて開発される。攻撃者を実際のシステムではなくハニーポットに誘い込むために、いくつかの脆弱なポートを開けたままにするのがその顕著な例である。
また、別のハニーポットシナリオとしては、インターネット上のペイメントゲートウェイのページを模倣することが考えられます。これは、クレジットカード番号をスパイするサイバー犯罪者にとって理想的なターゲットとなります。サイバー犯罪者がこのようなページにアクセスすると、セキュリティチームは彼らの行動を評価し、その動きを追跡して、正規のペイメントゲートウェイの安全性を高めることができます。
ハニーポットの運用から、組織のセキュリティ上の脆弱性を特定し、新たな脅威を発見するのに役立つ貴重なツールと考えることができる。さらに、攻撃者の傾向を分析し、そのような脅威から身を守る仕組みを導入することもできる。
ハニーポットの種類
ハニーポットは、その配置と関与のレベルに基づいて分類することができる。配備に基づいて、以下のように分類することができます:
本番用ハニーポット- このハニーポットは、組織の内部ネットワーク上の実際の本番サーバーと一緒に配備されます。その目的は、内部ネットワーク上のアクティブな攻撃を検出し、正当なサーバーから攻撃をそらすことです。
リサーチ・ハニーポット - これとは対照的に、リサーチ・ハニーポットは、攻撃者の行動を分析することによって、攻撃者がどのようにシステムに対する潜在的な攻撃を実行するかを収集し、分析するために使用される。このような分析を通じて、セキュリティ・チームはシステムの防御を強化することができる。
そして、関与の度合いに基づいて、ハニーポットは以下のように分類される:
純粋なハニーポット-これは、機密データまたは機密データを含んでいるように見える本格的な本番システムである。セキュリティチームは、ハニーポットがネットワークに接続する場所に設置されたバグタップによって、攻撃者の意図を監視する。
相互作用の大きいハニーポット -主な目的は、攻撃者がシステムを攻撃するためにセキュリティの抜け穴に侵入する時間をできるだけ多く投資させることです。これにより、サイバーセキュリティチームはシステム内の攻撃者の標的を観察し、その脆弱性を発見することができます。相互作用の大きいハニーポットの典型的な例はデータベースです。
中程度のインタラクションのハニーポット - オペレーティング・システムを使わずにアプリケーション・レイヤーを模倣し、攻撃者が混乱したり、任務を遅らせたりするようにします。これにより、セキュリティ専門家はこのシナリオで攻撃に対応する時間を稼ぐことができます。
低インタラクションハニーポット - これらのハニーポットはセットアップが簡単で、TCP(Transmission Control Protocol)、IP(Internet Protocol)、ネットワークサービスを使用します。リソースをあまり必要としません。このハニーポットの主な目的は、攻撃者が最もよく狙うシステムをシミュレートすることです。そのため、セキュリティの専門家は攻撃の種類や発生源に関する情報を収集することができる。また、セキュリティ・チームは、早期発見のメカニズムとしても利用する。
ハニーネットとは何か?
これまで、ハニーポットをネットワーク内の単一の仮想マシンとして発見してきました。対照的に、ハニーネットは下図のようにネットワークでつながった一連のハニーポットです。単一のハニーポットでは、より広範なネットワークに入る疑わしいトラフィックを監視するには不十分です。
ハニーネットは、ネットワークに入ってくるトラフィックを監視し、ハニーポット・ノードに誘導する「ハニーウォール」ゲートウェイを介して、ネットワークの残りの部分に接続されている。
ハニーネットの助けを借りて、セキュリティ・チームは分散型サービス拒否(DDOS)攻撃やランサムウェアなど、大規模なサイバーセキュリティの脅威を調査することができます。そして、セキュリティチームは、実際のシステムから攻撃者を追い払うために、関連する予防措置を講じることができます。
ハニーネットは、不審なトラフィックのインバウンドおよびアウトバウンドからネットワーク全体を保護し、広範な侵入ネットワークの一部となります。
ハニーポットの限界
ハニーポットが存在すれば、ネットワークは完全にセキュアになると思っているかもしれない。しかし、ハニーポットにはいくつかの欠点があり、セキュリティ・メカニズムに取って代わるものではないからだ。
特定の脅威がハニーポットの抜け穴に侵入しなかったからといって、それが正規のシステムに侵入しないということにはならない。一方、熟練したハッカーはハニーポットを違法と判断し、ハニーポットをそのままにして他のネットワーク・システムを攻撃する。
攻撃者はまた、実際のエクスプロイトから本番環境に注意をそらすために、なりすまし攻撃を実行する可能性もある。
さらに悪いことに、より革新的なハッカーは、本番環境に侵入する手段としてハニーポットを利用するだろう。これが、ハニーポットがファイアウォールなどの他のセキュリティ・メカニズムに取って代わることができない明らかな理由です。したがって、ハニーポットはシステムの残りの部分を攻撃するための発射台として機能する可能性があるため、ネットワーク内の各ハニーポットに対して十分な予防措置を講じる必要がある。
ウェブスクレイピングにおけるハニーポットの罠
違法なウェブスクレイピングを避けるためのハニーポット・トラップがある。残念なことに、こうした少数のスクレイパーのせいで、合法的なスクレイパーも時には代償を支払わなければならない。これは、ハニーポットが合法的なスクレイパーとそうでないスクレイパーを区別できないためである。
ウェブページには、クローラーだけがアクセスできるリンクが含まれている。そのため、クローラーがこれらのリンクからデータをスクレイピングすると、ウェブサイトはクロール活動を検出する。このように、ハニーポット・トラップを持つウェブサイトは、これらのサイトからのスクレイピングは違法であるため、あなたのウェブスクレイピング活動を簡単に追跡し、検出することができます。その結果、あなたのIPはブロックされる可能性が高く、目的のデータを取得することができなくなります。
スクレイパーのおとりとして、ハニーポット・リンクを持つサイトの中には、CSSのdisplayプロパティをnoneにしているものがある。そのため、クローラーが目に見えるリンクだけをたどるようにしなければならない。また、ブロックを避けるためには、スクレイピングするウェブサイトのルールやガイドラインに従うのがベストだ。
結論
ハニーポットには一定のリスクがあるが、制限のセクションで示したように、メリットがリスクを確実に上回る。したがって、ハニーポットは、組織のセキュリティ投資を検討する際に必要不可欠な仕組みである。また、その一方で、セキュリティとハニーポットの評価は、専門知識を持ったプロが実施するようにしてください。