情報処理学会第82回全国大会中高生情報学研究コンテスト ポスターセッション発表

自作の「おとり」のログの徹底追跡から解明 インターネットの攻撃は全世界から!

チーム名:ykyuki.net

窪田 靖之くん(川北町立川北中学校[石川] 2年)

(2020年3月取材)

「ハニーポットを使用した攻撃の観測と考察」

 

■発表の内容

 

現在、普及化を勧めているIPv6では、IPoE方式の通信が使われている。IPoE方式の通信では、ルータやアダプターなどを必要とせず、エンドツーエンドで通信をする。これは、シンプルにインターネットへ接続できるというメリットがあるが、ルータにより守られないため多くの攻撃を受けると考えられる。

一般的な家庭にも攻撃は来るのかを確かめるために、Raspberry PiにCowrieというSSHのハニーポットを導入し、1週間公開した。設置後、攻撃数は2日目までは増え続け、以後同程度で推移した。国別の攻撃数では19の国からアクセスがあり、アイルランドが多数を占めていた。

これらの結果をもとに考察を行った。攻撃が増えた理由はIoT検索エンジンにインデックスされていたことなどが考えられた。この結果からインターネット上では常に身の回りに危険があり、狙われていることがわかった。

 

※クリックすると拡大します

 

 

■今回発表した研究を始めた理由や経緯は?

 

小学生の頃から、自作でRaspberry Piを用いた自宅サーバを公開していました。当時から、時々攻撃と思われるようなログが残っていて、このような個人のサーバにもアクセスがあることを経験していました。

 

国の組織や大企業などのサーバへの不正アクセスというのは、ニュースなどで聞いたことがありましたが、自分のところにもアクセスがあることは、正直驚きでした。

 

実際にハニーポット(※)を設置してみるとどれくらいの攻撃が来るのか興味があり、この研究を始めました。

 

※コンピュータセキュリティで、あえてシステムへの攻撃者の侵入を許して、攻撃者を欺いたり攻撃手法を分析したりするという、「おとり」のような機能を持つシステムやネットワーク

 

 

■今回の研究にかかった時間?

 

春休みからハニーポットを設置するためにいろいろなことを調べて、夏休みに実行しているので、4か月かかっています。

 

■今回の研究で苦労したことは?

 

Googleデータポータルでの分析です。ポスター内では、すぐにグラフが出せていますが、この分析をするために使い方を覚えるなど、結構時間をかけています。

 

特に難しかったのは、国別でのグラフを出すところです。ハニーポットのcowrieから出されるログは、起動や終了、アクセス(攻撃)、切断などいろいろなログが1つのファイルにまとまって出ています。これをアクセス(攻撃)のログのみにすることや、IPアドレスから国を調べるのが大変でした。

 

■「ココは工夫した!」「ココを見てほしい」という点は?

 

特に見てほしいのは、攻撃の国別でのグラフです。実際にハニーポットを設置して、ログを分析してみて、意外な国からたくさんの攻撃が来たことに驚きました。なぜ多かったのかについてはわかりませんでしたが、もっと他の観点から分析してみたいです。

 

■オンラインの発表と実際の会場での発表のどちらがよかったと思いますか?

 

自分は会場での発表が良かったと思います。ポスターの直すべきところを自分では見つけることは難しいです。会場で審査員の方々から直接アドバイスを貰えるというメリットは大きいです。特に、今回は指導者もおらず、すべてひとりで行っていたので、専門家からの意見をいただきたかったです。

 

■今後「こんなものを作ってみたい!」「こんな研究をしてみたい」と思うことは?

 

ポスターには載せられなかったのですが、ユーザー名やパスワードで使用頻度が高いものも集計してあるので、機会があれば公開したいです。

 

今回のログの分析にjqコマンドを使用しましたが、そのソフトウェアはオープンソースです。オープンソースのソフトウェアは誰でも貢献することができるので、ぜひしてみたいです。

 

 

※窪田くんの発表は、中高生研究賞最優秀賞を受賞しました。

 

第82回情報処理学会全国大会中高生情報学研究コンテスト ポスター発表より

 

河合塾
キミのミライ発見
わくわくキャッチ!