S-Owl

S(ecurity)Owl

トップ > honeypot > 2019/03/09(土)第6回ハニーポッター技術交流会LT「ハニーポッター流社会貢献」

2019/03/09(土)第6回ハニーポッター技術交流会LT「ハニーポッター流社会貢献」

honeypot lt

2019/03/09(土)に@morihi_socさん主催の第6回ハニーポッター技術交流会に参加し、LTしてきました。

 

タイトルは「ハニーポッター流社会貢献」。資料はこちらです。

speakerdeck.com

 

なお、第4回ハニーポッター技術交流会にLT参加した際の記事はこちらです。

sec-owl.hatenablog.com

 

ハニーポッターとは、ハニーポットを運用している人のことです。
そういった人が30人以上も集まるイベントです。

募集はいつもcompassで行われています。

hanipo-tech.connpass.com

今回の他の発表者の資料も上記から確認可能です。

 

発表資料はせっかくの機会だったので、色々と土産になりそうな資料を前半に色々と詰め込みました。発表ではほぼ説明しなかったのですが。
ただ、その結果、後から資料を読むとどこが焦点か分かりづらい資料になってしまったのは反省。流れになってないですね。
ハニポを複数箇所植えてみた、の話はmorihi_socさんと若干被る上にしょぼかったので、blogで供養してもよかったかな、と思いました。

 

今回の発表で一番言いたかったことは、タイトル通り世の中のために自分たちができるアクションについて、です。

 

前回、第4回の頃と比較して最近はtwitter上ではハニーポッターが増えた、あるいは情報を出すようになったかな、と感じています。

そうしてアウトプットした情報って、自分で思うよりも色んな人に見られて、活用されているんですよ、ということを言っておきたかった。
自分も見ていて参考にさせてもらっていますよ、という感謝と、自分も含め他の人の情報を求めているから、是非情報を出してほしいです、というお願いです。
そうしてアウトプットしていくことで、モチベが維持できれば、分析する力も上がっていくのでは、と思っています。

 

そしてもう一つが、分析できる人達への提案で、観察するだけでなく行動に移しませんか、という提案です。

ハニーポットのログを見ていると、これはマズいんじゃないか?と思う事象に出くわすことがある、と思っています。
脆弱なIoTがマルウェアに感染してスキャンしているのが見つかったり、意図せず踏み台になっている機器が見つかったり。
その時、マズいなと思うだけで終わらせるのではなく、もう一歩踏み込んで、その対応ができる所へ報告する等して、良くしていけないか、と思っています。
対処してもらうには、その人のハニポのログが必要になるので、それを持ってISPのabuse窓口やJPCERT/CCのインシデント報告窓口に言えば、動いてくれる可能性があります。それを出来るのはハニポのログを出せる、ハニーポッターだけです。

 

そうやって、日本のインターネット、セキュリティを少しでも良くして行きたい、と思っています。
それは何も政府やどこかのセキュリティ企業だけに任せておくような話ではなく、1個人としてでも動けることはあるんだよ、と思っています。

自分の回りのtwitterのセキュリティクラスタを見ていると、個人で情報を発信したり通知をしたりすることで、確実に日本のセキュリティに貢献している人たちがいます。
それは、その人達が仕事でセキュリティをやっているからではなくて、個人としてセキュリティに対して社会に貢献していこう、というモチベーションがあるからだと思っています。
個々人が動くことで、日本の、世界のセキュリティは良くなっていくと思っています。

 

そういう風に考えるようになったキッカケは、ロシアに対して日本からの攻撃が多数あった、という報道でした。

headlines.yahoo.co.jp

この報道に対して、日本では脆弱なIoTがあってそれがDDoSに悪用されたのでは、というような発言がセキュリティ界隈でもありました。
だから、日本が悪いわけではない、と言っているように感じました。

 

SOCに居た身としては、送信元IPアドレスがどこの国かに価値はない、送信元IPアドレスがある国=攻撃元の国にはなり得ない、と思っています。
送信元IPになりうるのは、脆弱なシステムがあるか、使いやすいサーバ(VPSクラウド)があるか、つまりは悪用しやすいシステム基盤がどこの国が多いか、だと思っています。
犯罪を犯すのに自分の身元が分かるような場所、国から攻撃するような人は普通はいない、と思います。

 

でも、だからと言って、攻撃を受けた側からすると、その国からの攻撃と捉えない理由も無いわけです。
特に政治的なカードとして使うのであれば、いい材料でしかない。
だったら、単に事象を解説して責任がないように振る舞うのではなく、日本からの攻撃が発生しなくなるような行動を取って、そういった口実にならないようにするべき、そういうのがセキュリティの専門家なのでは、と思いました。

そうして、自分が出来ることを考えた中の一つが、今回の内容でした。
一つでもマルウェアに感染している機器を減らす、一つでも脆弱な機器を減らす、そのために持っているログとスキルを活用して、連絡をしていく。

まずは意図しないで攻撃に加担してしまっているものを減らしたい、と思っています。
VPSクラウド等で意図的に攻撃基盤として利用している人たちに対しては、また違ったやり方がいいと思っています。
一時的に基盤を使い捨てていくのだと思うので、それに対してはハニポのログでというよりは、もっと制度として対策を考えなくてはいけないのかな、と。
それはそれで、やれることを考えていくとして。

 

少しでも、セキュリティを向上させるために動いてくれる人が増えるといいな、と願っています。