既存システムの概要と問題点

3.2.1 ^既存の Internet Trap ^の概要

Internet Trapは，正規の利用者のみならず侵入者にもサービスを提供するシステ

ムである．ただし侵入者に対しては正規システムに見せ掛けたおとりシステムから サービスが提供される．このサービス中に収集された侵入者の行動ログを分析する ことで，システムへの侵入手法や利用ツール，サイト上の脆弱性，侵入目的などを 把握でき，ファイアウォールやIDS，その他の機器の設定を見直すことができるよ うになる．また，おとりシステムに接続させることで，追跡のための時間稼ぎが可 能になる．

図3.1に，既存のInternet Trap [8, 9, 10]のシステム構成を示す．Internet Trap は，侵入検知部，侵入者リスト，アクセス制御部，正規システム，おとりシステム の5つのモジュールから構成される．アクセス制御部は，クライアントからアクセ ス要求を受け取ると，侵入検知部からの報告が記録されている侵入者リストを参照 し，もし記録があればそのアクセス先をおとりシステムへと誘導する．このときの

第3章Intrusion Trap Systemにおける安全で有効なログ収集のための動的誘導機能の実装 61

〯ߺบࡎࠬ࠻

ଚ౉ᬌ⍮ㇱ

ᱜⷙࠪࠬ࠹ࡓ

߅ߣࠅࠪࠬ࠹ࡓ ଚ౉⠪

࡝ࠬ࠻

YJQCOK TQQVMKVF XKKPFGZJ GEJQGVERC NCUVNQI CFOKPKUVTC OKPF

䉝䉪䉶䉴

೙ᓮㇱ

ෳᾖ

⺃ዉ

䊨䉫෼㓸

ಽᨆ 䊐䉞䊷䊄䊋䉾䉪

ㅊ〔

ଚ౉⠪

㪠㫅㫋㪼㫉㫅㪼㫋㩷㪫㫉㪸㫇

䊐䉜䉟䉝䉡䉤䊷䊦

図 3.1: 既存のInternet Trapの構成

侵入者からの攻撃は，おとりシステムへ加えられるため，正規システムは守られる．

3.2.2 ^問題点

既存のInternet Trapは，TCPコネクションの開始時点で誘導を行っており，不

正が検知された後のTCPコネクションから誘導される．もし，不正の検知された TCPコネクションが継続されれば，正規システムに接続されたままになり攻撃を受 けてしまう可能性がある．既存のInternet Trapでは，クライアントからのTCPコ ネクションはアクセス制御部を経由して，正規システムで終端されている．このた め，通信中のTCPコネクションを継続したまま正規システムからおとりシステム へと誘導することは，TCPのシーケンス処理上の不整合が発生するため，不可能で ある．

既存のInternet Trapで継続中のTCPコネクションからの攻撃を防ぐには，TCP

コネクションを一旦切断して再接続を促すことになり，このとき侵入者に逃げられ てしまうことも考えられる．たとえ再接続に来たとしても，誘導までに行われた正 規システムへの行為を，おとりシステムへ反映させる機能は無く，誘導時の通信シ ナリオに矛盾が生じる．

ここで通信シナリオの矛盾とは，TCPコネクションにより提供されるサービスを 例に説明すると，正規システムへのTCPコネクション上で行ったログイン処理や ディレクトリ間の移動，ファイルの生成，変更，削除などの作業の結果が，おとりシ ステムに反映されていないことである．このように既存のInternet Trapでは，TCP コネクションを切断したり通信シナリオに矛盾が生じることで，侵入者に誘導機構 の存在に気付かれてしまう可能性が高く，情報収集を円滑に行うことができない．

その他，侵入者のログはおとりシステム上で収集されるため，侵入者がおとりシ ステムの管理者権限の取得に成功してログの改竄や削除を行った場合，収集した情 報が信頼できないものになる．

3.2.3 ^{必要とされる機能}

正規システムを保護しながら情報収集を円滑に行うためには，不正が検知される とTCPコネクションの途中であってもTCPコネクションを継続したままおとりシ ステムへと誘導する機能が必要である．このとき，誘導前後で通信シナリオの継続 性を保つ機能も必要になる．また，一連の誘導処理は迅速に行われなければならな い．その他，行動ログはおとりシステム以外でも収集すべきである．

第3章Intrusion Trap Systemにおける安全で有効なログ収集のための動的誘導機能の実装 63