クライアントハニーポット

ハニーポットは、調査や侵入を受けることで価値を見出すセキュリティデバイスです。従来のハニーポットは、攻撃を受けるのを受動的に待つサーバー（またはサーバーサービスを公開するデバイス）です。一方、クライアントハニーポットは、クライアントを攻撃する悪意のあるサーバーを探す能動的なセキュリティデバイスです。クライアントハニーポットはクライアントを装い、サーバーと通信して攻撃が発生したかどうかを調査します。クライアントハニーポットはWebブラウザに重点を置くことが多いですが、サーバーと通信するあらゆるクライアント（FTP、メール、SSHなど）がクライアントハニーポットの一部となる可能性があります。

クライアントハニーポットを表す用語はいくつかあります。一般的な分類であるクライアントハニーポットの他に、一般的に使用され、受け入れられている用語として「ハニークライアント」があります。しかし、ここで微妙な点があります。「ハニークライアント」は実際には同音異義語であり、最初のオープンソースクライアントハニーポット実装（下記参照）を指す場合もありますが、文脈から明らかです。

クライアントハニーポットは3つのコンポーネントで構成されています。最初のコンポーネントであるキューイングは、クライアントがアクセスするサーバーのリストを作成する役割を担います。このリストは、例えばクローリングによって作成できます。2番目のコンポーネントはクライアント自身で、キューイングによって識別されたサーバーにリクエストを送信できます。サーバーとのやり取りが行われた後、3番目のコンポーネントである分析エンジンは、クライアントハニーポットへの攻撃が発生したかどうかを判断します。

これらのコンポーネントに加えて、クライアントハニーポットには通常、攻撃がクライアントハニーポットの外に拡散するのを防ぐための何らかの封じ込め戦略が備えられています。これは通常、ファイアウォールと仮想マシンサンドボックスの使用によって実現されます。

従来のサーバーハニーポットと同様に、クライアントハニーポットは主にインタラクションレベル（高または低）によって分類されます。これは、サーバーがクライアントハニーポットに対して利用できる機能的なインタラクションのレベルを表します。これに加えて、高インタラクション検出技術と低インタラクション検出技術の両方を使用する、新しいハイブリッドアプローチも存在します。

高インタラクション・クライアント・ハニーポットは、実在するクライアントを備えた実システムと同等の完全な機能を備えたシステムです。そのため、高インタラクション・クライアント・ハニーポットには、（封じ込め戦略以外の）機能上の制限はありません。高インタラクション・クライアント・ハニーポットへの攻撃は、サーバーとのインタラクション後のシステム状態を検査することで検出されます。クライアント・ハニーポットへの変更の検出は、クライアントの脆弱性を悪用した攻撃の発生を示唆している可能性があります。このような変更の例としては、新規ファイルや改ざんされたファイルの存在などが挙げられます。

高インタラクションのクライアント ハニーポットは、クライアントへの未知の攻撃の検出に非常に効果的です。ただし、この精度のトレードオフとして、攻撃を評価するために監視する必要があるシステム状態の量によってパフォーマンスが低下します。また、この検出メカニズムは、エクスプロイトによるさまざまな回避の影響を受けやすい傾向があります。たとえば、攻撃によってエクスプロイトがすぐにトリガーされるのを遅らせたり (時限爆弾)、特定の条件またはアクションの組み合わせでトリガーされたり (論理爆弾) する可能性があります。即時の検出可能な状態変化が発生しないため、クライアント ハニーポットは、クライアントへの攻撃が成功したにもかかわらず、サーバーを安全であると誤って分類する可能性があります。最後に、クライアント ハニーポットが仮想マシンで実行されている場合、エクスプロイトが仮想環境の存在を検出し、トリガーを停止するか、異なる動作をする可能性があります。

Capture ^[1]は、ニュージーランドのウェリントンにあるビクトリア大学の研究者によって開発された、高インタラクションのクライアントハニーポットです。Captureは既存のクライアントハニーポットとはさまざまな点で異なります。まず、高速に設計されています。状態の変化はイベントベースのモデルを使用して検出され、状態の変化が発生したときに対応できます。次に、Captureはスケーラブルに設計されています。中央のCaptureサーバーは、ネットワーク全体の多数のクライアントを制御できます。3つ目に、Captureはさまざまなクライアントを利用できるフレームワークになるはずです。Captureの初期バージョンはInternet Explorerをサポートしていますが、現在のバージョンはすべての主要なブラウザ（Internet Explorer、Firefox、Opera、Safari）と、オフィスアプリケーションやメディアプレーヤーなどの他のHTTP対応クライアントアプリケーションをサポートしています。

HoneyClient ^[2]は、2004年にKathy Wangによって設計され、その後MITREで開発された、Webブラウザベース（IE/Firefox）の高インタラクションクライアントハニーポットです。オープンソースのクライアントハニーポットとしては世界初であり、Perl、C++、Rubyの3言語が混在しています。HoneyClientは状態ベースで動作し、ファイル、プロセスイベント、レジストリエントリを監視することでWindowsクライアントへの攻撃を検出します。この検出機能を実現するために、Capture-HPCリアルタイム整合性チェッカーが統合されています。HoneyClientにはクローラーも搭載されており、クローラーに初期URLリストを付与することで、クローラーはクロールを開始し、その後もWebサイトを巡回してクライアント側のマルウェアを探します。

HoneyMonkey ^[3]は、2005年にMicrosoftによって実装されたWebブラウザ（IE）ベースの高インタラクションクライアントハニーポットです。ダウンロードはできません。HoneyMonkeyは状態ベースで、ファイル、レジストリ、プロセスを監視してクライアントへの攻撃を検出します。HoneyMonkeyの特徴は、ゼロデイ攻撃を特定するためにサーバーと対話するための階層化アプローチです。HoneyMonkeyは最初に脆弱な構成でWebをクロールします。攻撃が特定されると、サーバーは完全にパッチを適用した構成で再検査されます。それでも攻撃が検出される場合は、その攻撃は未だパッチが公開されていないエクスプロイトを利用しており、非常に危険であると結論付けることができます。

Shelia ^[4]は、アムステルダム自由大学のJoan Robert Rocaspana氏によって開発された、高インタラクションクライアントハニーポットです。メールリーダーと統合され、受信したメール（URLと添付ファイル）を処理します。受信したURLや添付ファイルの種類に応じて、異なるクライアントアプリケーション（ブラウザ、オフィスアプリケーションなど）を起動します。メモリのデータ領域で実行命令が実行されたかどうか（バッファオーバーフロー攻撃がトリガーされたことを示す）を監視します。このようなアプローチにより、SHELIAはエクスプロイトを検出するだけでなく、エクスプロイトがトリガーされるのを阻止することも可能です。

ワシントン大学で開発されたSpycrawler ^[5]は、Moshchukらによって2005年に開発された、ブラウザベース（Mozilla）の高インタラクションクライアントハニーポットです。このクライアントハニーポットはダウンロードできません。Spycrawlerは状態ベースで、ファイル、プロセス、レジストリ、ブラウザクラッシュを監視することでクライアントへの攻撃を検知します。Spycrawlerの検知メカニズムはイベントベースです。さらに、Spycrawlerが動作している仮想マシンの時間経過を長くすることで、時限爆弾を無効化（あるいはむしろ影響を軽減）します。

WEF ^[6]は、仮想化環境での自動ドライブバイダウンロード検出の実装であり、2006年の夏学期にシュトゥットガルト医学大学（HdM）の3人の学生、トーマス・ミュラー、ベンジャミン・マック、メーメット・アルジマンによって開発されました。WEFは、侵害された仮想化マシンのロールバックのための完全な仮想化アーキテクチャを備えたアクティブなハニーネットとして使用できます。

低インタラクション・クライアント・ハニーポットは、高インタラクション・クライアント・ハニーポットとは異なり、実際のシステム全体ではなく、軽量クライアントまたはシミュレートされたクライアントを使用してサーバーと対話します（ブラウザの世界では、ウェブクローラーに似ています）。サーバーからの応答を直接検査し、攻撃が発生したかどうかを評価します。これは、例えば、応答に悪意のある文字列が含まれているかどうかを調べることで行うことができます。

低インタラクション型のクライアントハニーポットは、高インタラクション型のクライアントハニーポットよりも導入と運用が容易で、パフォーマンスも優れています。しかし、攻撃を検知するにはクライアントハニーポットが攻撃を事前に把握している必要があるため、検知率が低くなる傾向があります。そのため、新たな攻撃が検知されない可能性が高くなります。また、エクスプロイトによる検知回避の問題も抱えており、そのシンプルさゆえにこの問題は深刻化し、エクスプロイトがクライアントハニーポットの存在を検知しやすくなります。

HoneyC ^[7]は、2006年にウェリントンのヴィクトリア大学でクリスチャン・セイファートによって開発された、低インタラクションのクライアント型ハニーポットです。HoneyCはRubyで書かれたプラットフォームに依存しないオープンソースフレームワークです。現在は、Webブラウザシミュレータをサーバーと通信させることに重点を置いています。悪意のあるサーバーは、 Snortシグネチャを用いてWebサーバーの応答に悪意のある文字列が含まれていないか静的に検査することで検出されます。

Monkey-Spider ^[8]は、マンハイム大学のAli Ikinciによって開発された、低インタラクションのクライアント型ハニーポットです。Monkey-Spiderは、当初はアンチウイルスソリューションを用いてマルウェアを検出するクローラーベースのクライアント型ハニーポットです。高速で、他の検出メカニズムとの拡張性も備えているとされています。この研究は卒業論文として始まり、現在も継続され、GPLライセンスの下でフリーソフトウェアとして公開されています。

PhoneyC ^[9]は、Jose Nazario 氏が開発した低インタラクションクライアントです。PhoneyC は正規のウェブブラウザを模倣し、悪意のあるコンテンツの難読化を解除することで動的なコンテンツを理解し、検出することができます。さらに、PhoneyC は特定の脆弱性をエミュレートすることで攻撃ベクトルを特定します。PhoneyC は、悪意のある HTTP ページを調査し、最新の脆弱性と攻撃者の手法を理解することを可能にするモジュール式フレームワークです。

SpyBye ^[10]は、ニールス・プロボスによって開発された低インタラクションのクライアントハニーポットです。SpyByeは、ヒューリスティックスとClamAVエンジンによるコンテンツのスキャンによって、WebマスターがWebサイトが悪意のあるサイトかどうかを判断することを可能にします。

Thug ^[11]は、Angelo Dell'Aeraによって開発された低インタラクションのクライアント型ハニーポットです。ThugはWebブラウザの動作をエミュレートし、悪意のあるWebページの検出に重点を置いています。このツールはGoogle V8 JavaScriptエンジンを使用し、独自のドキュメントオブジェクトモデル（DOM）を実装しています。Thugの最も重要かつユニークな機能は、ActiveXコントロール処理モジュール（脆弱性モジュール）と、静的および動的解析機能（抽象構文木とLibemuシェルコードアナライザーを使用）です。ThugはGNU General Public Licenseに基づきPythonで記述されています。

YALIH（Yet Another Low Interaction Honeyclient）^[12]は、ニュージーランドのウェリントンにあるビクトリア大学のハニーネット支部のMasood Mansooriが開発した低インタラクションクライアントのハニーポットで、シグネチャとパターンマッチング技術によって悪意のあるWebサイトを検出するように設計されています。YALIHは、POP3とIMAPプロトコルを介して、悪意のあるWebサイトのデータベース、Bing API、受信トレイ、SPAMフォルダから疑わしいURLを収集する機能を備えています。Webサイトに埋め込まれたスクリプトのJavascript抽出、難読化解除、縮小化を実行でき、リファラ、ブラウザエージェントをエミュレートし、リダイレクト、Cookie、セッションを処理できます。そのビジターエージェントは、地理位置情報攻撃やIPクローキング攻撃を回避するために複数の場所からWebサイトを取得することができます。YALIHは、攻撃のバリエーションを検出するための自動シグネチャを生成することもできます。YALIHはオープンソースプロジェクトとして利用できます。

miniC ^[13]は、wget リトリーバーと Yara エンジンをベースにした、低インタラクションのクライアント型ハニーポットです。軽量かつ高速で、多数のウェブサイトの取得に適しています。miniC では、リファラ、ユーザーエージェント、accept_language、その他いくつかの変数の設定とシミュレーションが可能です。miniC は、ウェリントンにあるビクトリア大学ニュージーランドハニーネット支部で設計されました。

ハイブリッド クライアント ハニーポットは、低インタラクション クライアント ハニーポットと高インタラクション クライアント ハニーポットの両方を組み合わせて、両方のアプローチの利点を活用します。

HoneySpider ^{[14]ネットワークは、} NASK/CERT Polska、GOVCERT.NL  [nl] ^[1]、SURFnet ^[2 ]の合弁事業として開発されたハイブリッドクライアントハニーポットです。 プロジェクトの目標は、既存のクライアントハニーポットソリューションとURLの一括処理に特化したクローラーをベースにした、完全なクライアントハニーポットシステムを開発することです。

• Jan Göbel、Andreas Dewald、Client-Honeypots: Exploring Malicious Websites、Oldenbourg Verlag 2010、ISBN 978-3-486-70526-3この本はAmazonで

• M. Egele、P. Wurzinger、C. Kruegel、E. Kirda、「ドライブバイダウンロードに対するブラウザの防御：ヒープスプレー型コードインジェクション攻撃の緩和」、 Secure Systems Lab、2009 年、p. iseclab.org から入手可能、2009 年 5 月 15 日にアクセス。
• ファインスタイン、ベン. Caffeine Monkey: JavaScriptの自動収集、検出、分析. BlackHat USA. ラスベガス、2007年.
• Ikinci, A, Holz, T., Freiling, FC : Monkey-Spider: 低インタラクションハニークライアントによる悪質ウェブサイトの検出. Sicherheit 2008: 407-421 Archived 2013-01-02 at the Wayback Machine ,
• Moshchuk, A., Bragin, T., Gribble, SD, Levy, HM 「クローラーを用いたWeb上のスパイウェアの調査」第13回年次ネットワークおよび分散システムセキュリティシンポジウム（NDSS）。サンディエゴ、2006年。インターネット協会。
• Provos, N., Holz, T. 「仮想ハニーポット：ボットネット追跡から侵入検知まで」Addison-Wesley、ボストン、2007年。
• Provos, N., Mavrommatis, P., Abu Rajab, M., Monrose, F. 「すべてのiFRAMEはGoogleを指し示しています」 . Google技術レポート. Google, Inc., 2008.
• Provos, N., McNamee, D., Mavrommatis, P., Wang, K., Modadugu, N. 「ブラウザの幽霊：Webベースのマルウェアの分析」 2007 HotBots Proceedings. ケンブリッジ、2007年4月. USENIX.
• Seifert, C.、Endicott-Popovsky, B.、Frinnke, D.、Komisarczuk, P.、Muschevici, R.、および Welch, I.、「フォレンジック対応プロトコルの必要性の正当化: クライアントハニーポットを使用して悪意のある Web サーバーを特定するケーススタディ」、第 4 回 IFIP WG 11.9 国際デジタルフォレンジック会議、京都、2008 年。
• Seifert, C. 『敵を知れ：悪意あるウェブサーバーの舞台裏』The Honeynet Project. 2007.
• Seifert, C.、Komisarczuk, P.、Welch, I. 「分割統治アルゴリズムパラダイムの適用による高インタラクションクライアントハニーポットの検出速度向上」第23回ACM応用コンピューティングシンポジウム、ブラジル、セアラ、2008年。
• Seifert, C., Steenson, R., Holz, T., Yuan, B., Davis, MA著『敵を知る：悪意のあるWebサーバー』ハニーネット・プロジェクト、2007年（honeynet.orgで入手可能）
• Seifert, C., Welch, I., Komisarczuk, P. HoneyC: 低インタラクションクライアントハニーポット. 2007 NZCSRCS Proceedings of the 2007 NZCSRCS.ワイカト大学、ハミルトン、ニュージーランド. 2007年4月.
• C. Seifert、V. Delwadia、P. Komisarczuk、D. Stirling、および I. Welch、「.nz ドメイン内の悪意のある Web サーバーに関する測定調査」、第 14 回オーストラリア情報セキュリティおよびプライバシー会議 (ACISP)、ブリスベン、2009 年。
• C. Seifert、P. Komisarczuk、I. Welch、「True Positive Cost Curve: 高インタラクション クライアント ハニーポットのコストベースの評価方法」、 SECURWARE、アテネ、2009 年。
• C. Seifert、P. Komisarczuk、I. Welch、「静的ヒューリスティックによる悪意のある Web ページの識別」、 Austalasian Telecommunication Networks and Applications Conference、アデレード、2008 年。
• ストゥールマン、タイス、ベルドゥイン、アレックス。 Honeyclients - 低インタラクション検出方法。技術レポート。アムステルダム大学。 2008 年 2 月。
• Wang, Y.-M., Beck, D., Jiang, X., Roussev, R., Verbowski, C., Chen, S., King, S. 「Strider HoneyMonkeysによる自動Webパトロール：ブラウザの脆弱性を悪用するWebサイトの検出」第13回年次ネットワークおよび分散システムセキュリティシンポジウム（NDSS）。サンディエゴ、2006年。インターネット協会。
• Zhuge, Jianwei, Holz, Thorsten, Guo, Jinpeng, Han, Xinhui, Zou, Wei.中国ウェブ上の悪意あるウェブサイトと地下経済の調査. 2008年情報セキュリティ経済学ワークショップ議事録. ハノーバー、2008年6月.

• Websense による Honeyclient インフラストラクチャと現在開発中の次世代 Honeyclient に関するプレゼンテーション (2008 年 4 月、RSA-2008 にて)
• ハニーネットプロジェクト
• ヴィルトゥエル ライムルーテン (ドイツ語)
• HITB 2006 での Michael Davis のクライアント ハニーポット プレゼンテーションのビデオ
• Recon 2005 での Kathy Wang による HoneyClient のプレゼンテーションのビデオ
• CCCカンファレンスでのヴォルフガルテン氏のプレゼンテーションのビデオ

• ^ https://web.archive.org/web/20100131222145/https://projects.honeynet.org/capture-hpc
• ^ https://web.archive.org/web/20071204172932/http://handlers.dshield.org/rdanford/pub/2nd_generation_honeyclients.ppt
• ^ https://web.archive.org/web/20100131222101/https://projects.honeynet.org/honeyc/
• ^ https://archive.today/20070410162806/http://www.honeyclient.org/trac
• ^ https://web.archive.org/web/20180430012758/http://www.honeyspider.net/
• ^ https://monkeyspider.sourceforge.net/
• ^ https://code.google.com/p/phoneyc/
• ^ https://github.com/buffer/thug
• ^ http://www.cs.vu.nl/~herbertb/misc/shelia/
• ^ http://www.spybye.org/
• ^ https://web.archive.org/web/20070322205829/http://www.xnos.org/security/overview.html
• ^ https://web.archive.org/web/20100220013531/http://code.mwcollect.org/
• ^ http://nz-honeynet.org
• ^ https://github.com/masood-m/yalih
• ^ https://github.com/Masood-M/miniC