はじめまして、技術開発部セキュリティユニットの神田です。

2月7日、21日にNTT Comグループ社員を対象にセキュリティワークショップ『ハニーポッターになろう～インターネットの今を知って正しく怖がる～』を開催しました。本記事では、その内容や当日の様子について紹介します。

セキュリティワークショップ『ハニーポッターになろう～インターネットの今を知って正しく怖がる～』

このワークショップは、NTT Comグループ内セキュリティコミュニティの有志を中心として完全内製で企画、開催されました。開催の主な目的は以下の通りです。

インターネットを取り巻く脅威の現状を体感し、理解を深める
ハニーポットの運用や分析に必要な視点を習得する
セキュリティコミュニティの活性化（交流の促進）

ワークショップは二部構成のグループワーク形式で、第一部（2/7）でハニーポットを構築後、2週間のログ収集期間をおいて、第二部（2/21）で収集したログの分析ハンズオンを行いました。また、第二部後半にはログを活用したアイディアソンも開催しました。

ハニーポットとは

このワークショップで題材としたのは、ハニーポットです。ハニーポットとは、不正なアクセスの観測を主な目的とした囮（おとり）環境のことです。蜜壺の名が表すように、敢えてセキュリティを甘くした脆弱な環境（攻撃者にとっては魅力的な環境）を用意することで不正なアクセスを誘い込み、情報を収集します。

ハニーポット運用者のことを親しみを込めてハニーポッターと呼ぶことがあるため、ワークショップのタイトルはここからとっています。

コース概要

第一部：ハニーポット構築・操作ハンズオン

第一部では、まずクラウド環境上に構築された仮想サーバ（ほぼ初期状態）からスタートして、自分たちでハニーポットを構築してインターネット上に公開してもらいました。

ハニーポット稼働開始後は、ハニーポットの基礎を座学形式で学んでもらうとともに、構築したハニーポットに自ら触れてみるハンズオンも実施しました。

第一部のハンズオンの特徴的なところは、防御者（アクセスを待ち受けて分析する側）の視点だけではなく、攻撃者（不正アクセスを試みる側）の視点でもハニーポットに触れてみるという点です。自ら攻撃者の視点に立ってハニーポットにわざとはまってみることで、攻撃者から見てハニーポットがどう見えるのか、どこにハニーポットを見破るポイントがあるのかを体感してもらいました。また、自分の（攻撃者としての）アクセスログを防御者の視点で追いかけることで、ログから実際のアクセス行動や意図をイメージしやすくする狙いもありました。

第二部：ハニーポット分析ハンズオン＆アイディアソン

第二部では、第一部で稼働させたハニーポットで収集したログを使った分析ハンズオンを実施しました。収集したリアルなログデータの分析を通じて今のインターネットで起きていることを生々しく体感してもらうとともに、攻撃者の行動履歴からその目的を推測したり、アクセス元が何者なのかを調査するといった発展的な分析も体験してもらいました。

第二部後半では、参加者同士の相互理解と交流を促すために「ハニーポットログのビジネス活用」というテーマでアイディアソンも開催しました。

当日の様子

リソースの関係上、今回のワークショップは30人という定員を設けて募集しましたが、セキュリティ関連業務に従事している社員だけではなく、クラウド・アプリケーションといった別分野のエンジニアやオペレーションエンジニア、セールスなど幅広いジャンルの社員から応募があり、予定よりも早く募集を締め切る人気ぶりでした。

第一部では、普段サーバを触ることのない人もおり、構築に悪戦苦闘する場面もありましたが、ハニーポットを公開した途端にアクセスが来る様子に驚きの声が会場のあちらこちらから聞こえていました。（COVID-19対策のために、マスク着用・消毒用アルコール設置・加湿器稼働で臨みました）

第二部前半では、特にアクセスの多かったポートを中心にインターネットからのアクセスを分析しました。分析を進める中で攻撃者が仮想通貨採掘型マルウェアを送り込んで実行しようとしていたことが確認できたグループもありました。

（講師もマスク着用）

第二部後半のアイディアソンでは、運営側の予想を超えたバラエティ豊かなアイディアが披露され、大いに盛り上がりました。ここには書けないような情報も含まれているため詳細は割愛しますが、他のサービスと組み合わせたアイディアや普段の業務と絡めたアイディアなどが出ました。参加者自身の業務経験を踏まえたアイディアは運営としてもとても刺激になりました。