ハニーネットプロジェクト―なんじのてきをしれ:セキュリティきょういしゃのぶんせき

ハニーネットプロジェクト―汝の敵を知れ:セキュリティ脅威者の分析

原題は、
KNOW YOUR ENEMY : LEARNING ABOUT SECURITY THREATS〈HONEYNET PROJECT〉

コンピュータセキュリティ、情報の収集分析、
情報心理学の専門家などで構成される
非営利団体で、「ハニーポット」(無防備な
サーバのふりをするソフトウェアや
脆弱性を抱えたサーバなど、
「甘いエサ」を用意することで攻撃者を
おびき寄せる「おとり」)や周辺ツールの
開発、「ハニーネット」(「ハニーポット」を
設置した仮想ネットワーク)の運営、
捕捉した情報の分析などを
行ってきたという
ハニーネットプロジェクト。

そのハニーネットプロジェクトの
コアメンバーが著した、
ハニーネットによって蓄積した
コンピュータセキュリティ情報についての
解説書。

--------------------------------------------------

【目次】

監訳者まえがき
はじめに
　本書の構成
　対象とする読者
　付属CD-ROM
　関連Webサイト
　章ごとの参考情報
　ネットワーク図解
　著者について
　謝辞
本書に寄せて
　ハニーポットとハニーネットプロジェクト
付属CD-ROMについて
　
　
第1部ハニーネット
　
第1章始まり
　 1.1 ハニーネットプロジェクト
　　 1.1.1 ハニーネット以前の情報セキュリティ環境
　　 1.1.2 変化する環境――ハニーポットに入れ
　　 1.1.3 成長するグループ
　　 ――ハニーネットプロジェクトとGenⅠハニーネット
　　 1.1.4 ハニーネットのチャレンジ
　　 1.1.5 GenⅡハニーポット
　 1.2 ハニーネットリサーチアライアンス
　 1.3 すべてを管理する――我々が学んだ教訓
　　 1.3.1 小さいままでいる
　　 1.3.2 楽しくやる
　　 1.3.3 常に複数の活動を進行させる
　　 1.3.4 意思の疎通を図る
　 1.4 まとめ
　
第2章ハニーポット
　 2.1 ハニーポットの定義
　　 2.1.1 ハニーポットの利点と弱点
　 2.2 ハニーポットのタイプ
　　 2.2.1 ローインタラクション型ハニーポット
　　 2.2.2 ローインタラクション型ハニーポットの例――Honeyd
　　 2.2.3 ハイインタラクション型ハニーポット
　　 2.2.4 ハイインタラクション型ハニーポットの例
　　 ――Symantec Decoy Server
　　 2.2.5 ローインタラクション型ハニーポット対
　　ハイインタラクション型ハニーポット
　 2.3 ハニーポットの用途
　　 2.3.1 攻撃の阻止
　　 2.3.2 攻撃の検知
　　 2.3.3 攻撃への対処
　　 2.3.4 研究目的でのハニーポットの使用
　 2.4 まとめ
　　
第3章ハニーネット
　 3.1 ハニーネットの価値
　 3.2 ハニーネットのアーキテクチャ
　　 3.2.1 データ制御
　　 3.2.2 データ捕捉
　　 3.2.3 データ収集
　 3.3 リスク
　 3.4 ハニーネットのタイプ
　 3.5 まとめ
　
第4章GenⅠハニーネット
　 4.1 GenⅠハニーネットのアーキテクチャ
　 4.2 GenⅠデータ制御のオプション
　　 4.2.1 GenⅠデータ制御のカテゴリ
　　 4.2.2 GenⅠデータ制御技術の選択肢
　　 4.2.3 GenⅠ技術の動作例
　 4.3 GenⅠデータ捕捉機能
　　 4.3.1 GenⅠデータ捕捉技術のカテゴリ
　　 4.3.2 データ捕捉技術の概要
　　 4.3.3 GenⅠデータ捕捉技術の選択肢
　 4.4 GenⅠハニーネットの完全な構成例
　　 4.4.1 ステップ1：必要なハードウェアとソフトウェアを入手し、準備する
　　 4.4.2 ステップ2：主にデータ制御を担当するファイアウォールマシンを導入し、設定する
　　 4.4.3 ステップ3：主にデータ捕捉を担当するファイアウォールIDSマシンを導入し、設定する
　　 4.4.4 ステップ4：犠牲となる（ハニーネット）マシンを導入、設定、準備する
　　 4.4.5 ステップ5：マシンをネットワーク接続し、データ制御とデータ捕捉のシステムをテストする
　　 4.4.6 ステップ6：ハニーネットをインターネットに接続する
　 4.5 ハニーネットの動作状況――攻撃捕捉の実例
　 4.6 まとめ
　
第5章GenⅡハニーネット
　 5.1 GenⅡハニーネットの改良点
　 5.2 GenⅡハニーネットのアーキテクチャ
　　 5.2.1 GenⅡデータ制御の概要
　　 5.2.2 GenⅡデータ捕捉の概要
　 5.3 GenⅡデータ制御
　　 5.3.1 GenⅡデータ制御の実装
　　 ――ブリッジングゲートウェイとしてのハニーウォール
　　 5.3.2 ハニーウォールの管理
　　 5.3.3 IPTables
　　 5.3.4 Snort-InlineとIPTables
　　 5.3.5 ハニーウォールのデータ制御モード
　　 5.3.6 データ制御の抽象記述
　 5.4 GenⅡデータ捕捉
　　 5.4.1 GenⅡデータ捕捉レイヤ1――ファイアウォールロギング
　　 5.4.2 GenⅡデータ捕捉レイヤ2――IDS
　　 5.4.3 GenⅡデータ捕捉レイヤ3――ハニーポット
　 5.5 GenⅡハニーネットの配備
　　 5.5.1 ISLabハニーネットのトポロジー
　　 5.5.2 ハニーネットのコンポーネント
　　 5.5.3 インターネット接続
　　 5.5.4 ハニーポット
　　 5.5.5 リモートsyslogサーバハニーポット
　　 5.5.6 HNルータ
　　 5.5.7 ハニーウォール（ハニーネットゲートウェイ）
　　 5.5.8 ISLabハニーネット配備例のまとめ
　 5.6 まとめ
　
第6章仮想ハニーネット
　 6.1 仮想ハニーネットとは何か
　 6.2 自己完結型仮想ハニーネット
　 6.3 ハイブリッド型仮想ハニーネット
　 6.4 考えられる実装ソリューション
　　 6.4.1 選択肢1――VMware Workstation
　　 6.4.2 選択肢2――VMware GSX Server
　　 6.4.3 選択肢3――User-Mode Linux
　 6.5 まとめ
　
第7章分散ハニーネット
　 7.1 分散ハニーネットとは何か
　 7.2 物理分散ハニーネット
　　 7.2.1 ハニーウォールCD-ROM
　　 7.2.2 配備オプション
　 7.3 ハニーポットファーム
　 7.4 待ち時間問題
　 7.5 ハニーポットファームのセットアップ
　　 7.5.1 技術の概要
　　 7.5.2 Linuxを使用するハニーポットファームのセットアップ例
　 7.6 分散ハニーネット全般に共通する問題
　 7.7 まとめ
　
第8章法律問題
　 8.1 ネットワークユーザーの監視
　　 8.1.1 合衆国憲法の規定
　　 8.1.2 米国の制定法
　　 8.1.3 米国における契約とポリシー
　　 8.1.4 米国外の法律
　 8.2 犯罪とハニーネット
　　 8.2.1 よく見られる犯罪活動
　　 8.2.2 不法行為および密売品に対処する手続き
　　 8.2.3 罠
　 8.3 危害を加えない――他者に対する責任
　 8.4 まとめ
　
　
第2部分析
　
第9章デジタル犯罪の現場
　 9.1 データ分析の目的と価値
　 9.2 ハニーネット内の多種多様な種類のデータを捕捉する
　　 9.2.1 ファイアウォールログ
　　 9.2.2 ネットワークバイナリログ
　　 9.2.3 ASCII SESSIONログ
　　 9.2.4 Snort侵入検知アラート
　　 9.2.5 システムログ
　　 9.2.6 キーストロークログ
　 9.3 複数レイヤでのデータ分析とその価値
　　 9.3.1 ネットワークフォレンジックス
　　 9.3.2 コンピュータフォレンジックス
　　 9.3.3 リバースエンジニアリング
　 9.4 まとめ
　
第10章ネットワークフォレンジックス
　 10.1 ネットワークフォレンジックスの実施
　 10.2 ネットワークトラフィックの基礎
　　 10.2.1 分析者の眼鏡を通して見たIPヘッダ
　　 10.2.2 分析者の眼鏡を通して見たTCPヘッダ
　 10.3 ネットワークトラフィックのキャプチャと分析
　　 10.3.1 Snortの基礎
　 10.4 ハニーネットからのケーススタディ
　　 10.4.1 ある4月の朝にアラートが
　　 10.4.2 攻撃セッションの再構成
　　 10.4.3 ルートキットの再構成
　　 10.4.4 攻撃の最終仕上げ
　　 10.4.5 IRCチャットのキャプチャ
　 10.5 非標準プロトコルの分析
　　 10.5.1 非標準プロトコルの検出
　 10.6 フォレンジックス分析のための一般的なトラフィックパターン
　　 10.6.1 ブロードキャストパターン
　　 10.6.2 DNS逆引きパターン
　　 10.6.3 プロキシスキャニングパターン
　　 10.6.4 169.254.x.xパターン
　　 10.6.5 tracerouteパターン
　 10.7 パッシブフィンガープリンティング
　　 10.7.1 TCPでのパッシブフィンガープリンティングの例
　　 10.7.2 ICMPでのパッシブフィンガープリンティングの例
　　 10.7.3 p0f version 2
　 10.8 まとめ
　
第11章コンピュータフォレンジックスの基礎
　 11.1 概要
　　 11.1.1 法律上の考慮事項
　　 11.1.2 科学的手法
　　 11.1.3 データ管理
　　 11.1.4 キーコンセプト
　 11.2 分析環境
　　 11.2.1 ハードウェアに関する考慮事項
　　 11.2.2 Linuxベースの分析システム
　　 11.2.3 Linuxベースの分析ツール
　　 11.2.4 WINDOWSベースの分析システム
　　 11.2.5 WINDOWSベースの分析ツール
　 11.3 データ捕捉
　　 11.3.1 基本概念
　　 11.3.2 基本ガイドライン
　　 11.3.3 データのタイプ
　　 11.3.4 シャットダウンに関する考慮事項
　　 11.3.5 捕捉の技法
　 11.4 まとめ
　
第12章UNIXコンピュータフォレンジックス
　 12.1 Linuxの基礎
　　 12.1.1 スタートアップ
　　 12.1.2 データ隠蔽
　　 12.1.3 ファイルシステム
　 12.2 データ捕捉
　　 12.2.1 揮発性データの捕捉
　　 12.2.2 不揮発性データの捕捉
　　 12.2.3 ディスクとパーティション
　 12.3 分析
　　 12.3.1 セットアップ
　　 12.3.2 クイックヒット
　　 12.3.3 理論の穴を埋める
　 12.4 事前対策ステップ
　 12.5 まとめ
　
第13章Windowsコンピュータフォレンジックス
　 13.1 Windowsファイルシステム
　　 13.1.1 FATの基礎
　　 13.1.2 NTFSファイルシステム
　 13.2 データ捕捉
　　 13.2.1 揮発性データの捕捉
　　 13.2.2 不揮発性データの捕捉
　　 13.2.3 出力オプション
　 13.3 システムの分析
　　 13.3.1 セットアップの確立
　　 13.3.2 ファイルシステム内容の調査
　　 13.3.3 クイックヒット
　　 13.3.4 理論の穴を埋める
　 13.4 AutopsyとSleuth Kitによる分析
　　 13.4.1 ファイルのブラウズ
　　 13.4.2 キーワード検索の実行
　　 13.4.3 ファイルの分類
　　 13.4.4 ファイル活動の時系列表
　　 13.5 まとめ
　
第14章リバースエンジニアリング
　 14.1 概論
　　 14.1.1 必要条件
　　 14.1.2 分析手法
　 14.2 静的分析
　　 14.2.1 情報収集
　　 14.2.2 逆アセンブリ
　　 14.2.3 シンボルテーブルの再生
　　 14.2.4 逆コンパイル技法
　　 14.2.5 サブルーチンを逆コンパイルする順序を
　　決定するための方法論
　 14.3 能動的分析
　　 14.3.1 分析環境のサンドボックス化
　　 14.3.2 ブラックボックス分析
　　 14.3.3 トレース
　　 14.3.4 アンチデバッグトリック
　　 14.3.5 デバッグ
　 14.4 ウォークスルー：リバース大賞
　　 14.4.1 情報収集
　　 14.4.2 逆アセンブリリストの取得
　　 14.4.3 逆コンパイルと分析
　 14.5 まとめ
　 14.6 リソース
　
第15章集中データコレクションと分析
　 15.1 データの集中化
　　 15.1.1 ファイアウォールログ
　　 15.1.2 IDSログ
　　 15.1.3 tcpdumpログ
　　 15.1.4 システムログ
　　 15.1.5 キーストロークログ
　　 15.1.6 データ集中化のまとめ
　 15.2 Honeynet Security Console
　　 15.2.1 説明
　　 15.2.2 データの関連付けの例
　 15.3 まとめ
　
　
第3部敵
　
第16章プロファイリング
　 16.1 ホワイトハット／ブラックハット集団の社会学的分析
　　 16.1.1 ハッカー、クラッカー、ブラックハット、ホワイトハット：
　　アイデンティティクライシスと呼び名の力
　　 16.1.2 集団内の動機：個人、グループ、
　　それらの行動を理解するためのポイント
　　 16.1.3 ここまでのまとめ
　　 16.1.4 ホワイトハット／ブラックハット集団の社会構造
　　 16.1.5 ここまでのまとめ
　 16.2 「バグの生涯」：エクスプロイトコードの誕生、生涯、消滅
　　 16.2.1 発見段階：脆弱性の発見
　　 16.2.2 脆弱性を発見するためのテクニック
　　 16.2.3 脆弱性を発見するためのプロセス
　　 16.2.4 エクスプロイトコードの誕生
　　 16.2.5 エクスプロイトコードの最初の配置
　　 16.2.6 エクスプロイトコードの発見
　　 16.2.7 エクスプロイトコードの発見に寄与する要因
　　 16.2.8 エクスプロイトコードのライフサイクル
　　 16.2.9 危険なやり取り
　　 16.2.10 エクスプロイトコードの消滅
　　 16.2.11 リスクの測定
　 16.3 諜報に基づく情報のセキュリティ：プロファイリングの詳細
　　 16.3.1 出来事の特性
　　 16.3.2 出来事の結果
　　 16.3.3 ブラックハットの特性
　　 16.3.4 ターゲットの特性
　 16.4 すべてを統合したプロファイルの作成
　　 16.4.1 ACID FALZ
　　 16.4.2 IRCのプロファイリング：もう1つの観点
　 16.5 まとめ
　
第17章攻撃とエクスプロイトコード：実際の調査に基づいた教訓
　 17.1 概要
　 17.2 攻撃の種類
　　 17.2.1 積極的な攻撃
　 17.3 攻撃の実行者
　 17.4 システムを攻撃する一般的な手順
　　 17.4.1 手順1：積極的な調査
　　 17.4.2 手順2：システムの弱点の悪用
　　 17.4.3 手順3：アクセスの維持：バックドアとトロイの木馬
　　 17.4.4 手順4：痕跡の消去
　　 17.5 まとめ
　
第18章Windows 2000の侵害と分析
　 18.1 ハニーポットのセットアップと構成
　 18.2 ハニーネットのセットアップと構成
　 18.3 攻撃のログ
　　 18.3.1 1日目：2003年3月1日
　　 18.3.2 2日目：2003年3月2日
　　 18.3.3 3日目：2003年3月3日
　　 18.3.4 4日目：2003年3月4日
　　 18.3.5 5日目：2003年3月5日
　　 18.3.6 攻撃のログのまとめ
　 18.4 脅威の分析とプロファイル
　　 18.4.1 ブラックハット
　　 18.4.2 ウェアーズトレーダ
　　 18.4.3 カーダー
　　 18.4.4 スパマー
　 18.5 システムを保護するための教訓
　 18.6 攻撃に関する教訓
　 18.7 まとめ
　
第19章Linuxの侵害
　 19.1 ハニーネットのセットアップと構成
　 19.2 フォレンジックスの手順
　　 19.2.1 活動の徴候
　　 19.2.2 証拠の収集
　　 19.2.3 攻撃のフォロースルー
　　 19.2.4 エクスプロイトコードの識別
　　 19.2.5 ダウンロードされたパッケージの検討
　 19.3 後日談
　 19.4 出来事のまとめ
　 19.5 まとめ
　
第20章Solarisの侵害の例
　 20.1 ハニーネットのセットアップと構成
　 20.2 1日目の出来事
　　 20.2.1 侵入の検知
　　 20.2.2 エクスプロイトコードの調査
　　 20.2.3 出来事の再現
　　 20.2.4 侵入者のツールの回復（1日目）
　　 20.2.5 ルートキットの回復（1日目）
　　 20.2.6 競合の排除（1日目）
　　 20.2.7 IRCトラフィックの検討（1日目）
　　 20.2.8 攻撃者のDoSのツールの発見（1日目）
　 20.3 1日目の出来事のまとめ
　 20.4 3日目の出来事
　　 20.4.1 DoS攻撃の検討（3日目）
　　 20.4.2 その他のIRCトラフィックの検討（3日目）
　　 20.4.3 SSHバックドアアクセスとIPv6トラフィックの検討（3日目）
　　 20.4.4 侵入者によるIPv6トンネルのセットアップ（3日目）
　 20.5 3日目の出来事のまとめ
　 20.6 侵入者のプロファイリング
　 20.7 まとめ
　
第21章将来の展望
　 21.1 分散型ハニーネット
　 21.2 高度な脅威
　 21.3 インサイダーによる脅威
　 21.4 法の執行機関への適用
　 21.5 使用と承認
　 21.6 ブラックハットの反応
　 21.7 まとめ
　
付録A IPTables Firewallスクリプト
付録B Snortの設定
付録C Swatchの設定
付録D ネットワーク構成の要約
付録E ハニーウォールのカーネルの構成
付録F GenⅡ rc.firewallの構成
付録G 日本における法的問題
　
リソースとリファレンス
　
　索引
　著者紹介
　監訳者紹介
　訳者紹介

--------------------------------------------------