広域ネットワークスキャンに基づくオープンソースハニーポットの運用実態調査

インターネット上で発生している攻撃を観測するために，オープンソースハニーポットの研究や運用が行われている．しかし，オープンソースハニーポットの特徴は攻撃者によって検知可能であり，回避される可能性がある．本研究では，あらかじめ作成した20種類のハニーポット検知用のシグネチャを用いて，攻撃者が容易に検知可能なバナー等の応答をカスタマイズしていない14種類のオープンソースハニーポットの利用状況を調査する．そして，現状の運用者のハニーポット検知に対する問題意識を把握し，注意喚起により検知への対策を促進することを目指す．評価実験の結果，637のAS上で運用される19,208のハニーポットが容易に検知可能な状態で運用されていることが判明した．多くが研究機関のネットワークで運用されていたが，企業やクラウドでも運用されていた．そのうちのあるハニーポット群は著名なセキュリティセンタで実運用されていることが判明した．このうち，11組織のハニーポット運用者に連絡をとったが，4つの組織からしか返答が得られなかったことから，ネットワークやハニーポットの管理に十分な注意が払われていない可能性がある．加えて，ある国立研究機関のネットワークの運用者は，ハニーポット検知の問題を認識していなかった．また，いくつかのハニーポットが攻撃者によって，マルウェアの配布に悪用されている事例を発見した．検知されたハニーポットの運用者に通知を行い，シグネチャベースの検知を回避するためのカスタマイズを推奨した．同様に，ハニーポットの開発者に対しても通知を行い，本研究成果を共有した．そのうちの開発者の1人は我々の開示を考慮し，ハニーポットのリポジトリにカスタマイズの記述を追加した．このように，本研究はハニーポットの適切な運用に貢献できたと考える．

Open-source honeypots are a vital component in the protection of networks and the observation of trends in the threat landscape. Their open nature also enables adversaries to identify the characteristics of these honeypots in order to detect and avoid them. In this study, we investigate the current situation of honeypot operator's awareness of honeypot detection by investigating the prevalence of 14 different open-source honeypots that do not customize responses such as banners, which make them easily detectable by attackers. We provided recommendations for customization and other information with honeypot operators and developers in order to counter honeypot detection. We discovered 19,208 honeypots across 637 Autonomous Systems that are trivially easy to identify. Concentrations are found in research networks, but also in enterprise, cloud and hosting networks. One cluster of honeypots was confirmed to belong to a well-known security center and was in use for ongoing attack monitoring. Concentrations in an another cluster appear to be the result of government incentives. We contacted 11 honeypot operators and received response from 4 operators, suggesting the problem of lack of network hygiene. In addition, the operator of a national research institute said that they were not aware of honeypot detection issues. Finally, we find that some honeypots are actively abused by attackers for hosting malicious binaries. We notified the owners of the detected honeypots via their network operators and provided recommendations for customization to avoid simple signature-based detection. We also shared our results with the honeypot developers.