暗号資産ハニーポットとは何か、なぜ使われるのか?
スマートコントラクトプログラムは、イーサリアムのような最新ブロックチェーン上の分散ノードネットワークで実行できる。スマートコントラクトの人気と価値が高まるにつれ、攻撃者にとってより魅力的な標的となっている。近年、いくつかのスマートコントラクトがハッカーに狙われている。
しかし、新たなトレンドが勢いを増しているようだ。すなわち、攻撃者はもはや脆弱なコントラクトを探すのではなく、より積極的な戦略を採用している。代わりに、脆弱に見えるが隠れた罠を含むコントラクトを送りつけ、被害者を罠に陥れようとする。この特殊な種類のコントラクトはハニーポットと呼ばれる。では、暗号資産ハニーポットの罠とは何か?
ハニーポットとは、あたかも設計上の欠陥があり、任意のユーザーが事前に一定量のエーテル(イーサリアムのネイティブ通貨)をコントラクトに送金すれば、そのコントラクトからエーテルを引き出せるように見せかけたスマートコントラクトである。しかし、ユーザーがこの明らかな欠陥を悪用しようとすると、トラップドアが開き、2つ目の未知の脆弱性が作動してエーテルの引き出しを阻止する。では、ハニーポットは何をするのか?
目的は、ユーザーが目に見える脆弱性に完全に集中し、コントラクトに2つ目の脆弱性がある兆候を無視させることである。ハニーポット攻撃が機能するのは、他の種類の詐欺と同様に、人間は往々にして簡単に欺かれるからである。その結果、人々は自分の欲望や思い込みに直面してリスクを常に定量化できるわけではない。では、ハニーポットは違法なのか?
ハニーポット詐欺はどのように機能するのか?
暗号資産へのサイバー攻撃(ハニーポットなど)では、ユーザーの資金は閉じ込められ、ハニーポット作成者(攻撃者)だけがそれらを回収できる。ハニーポットは通常、3つの段階で機能する。
イーサリアムスマートコントラクトにハニーポットを仕掛けるために、攻撃者は特別なスキルを必要としない。実際、攻撃者は通常のイーサリアムユーザーと同じスキルしか持っていない。必要なのは、スマートコントラクトを設定して餌を仕掛けるための資金だけである。一般に、ハニーポット運用は、コンピュータ、プログラム、データで構成され、攻撃者にとって魅力的な実際のシステム(モノのインターネットデバイス、銀行システム、公共ユーティリティや交通ネットワークなど)の動作を模倣する。
ネットワークの一部のように見えるが、隔離され監視されている。正当なユーザーがハニーポットにアクセスする動機はないため、ハニーポットとの通信試行はすべて敵対的なものと見なされる。ハニーポットはしばしばネットワークの非武装地帯(DMZ)に配置される。この戦略により、主流の本番ネットワークから分離されつつ、接続を維持できる。DMZ内のハニーポットは、攻撃者がアクセスしている間、遠隔から監視でき、侵害されたメインネットワークのリスクを低減する。
内部ネットワークへの侵入試行を検出するため、ハニーポットは外部ファイアウォールの外側、インターネットに面して配置することもできる。ハニーポットの実際の設置場所は、その複雑さ、引き寄せたいトラフィックの種類、重要なビジネスリソースとの近さによって異なる。どこに配置されても、常に本番環境から隔離される。
ハニーポットのアクティビティをログ記録し表示することで、ネットワークインフラが直面する脅威の程度と種類を把握できると同時に、攻撃者の注意を実際の資産からそらすことができる。ハニーポットはサイバー犯罪者に乗っ取られ、仕掛けた企業に対して利用される可能性がある。また、サイバー犯罪者はハニーポットを使用して、研究者や組織に関する情報を入手したり、囮として偽情報を拡散したりすることもある。
ハニーポットはしばしば仮想マシン上でホストされる。例えば、ハニーポットがマルウェアに感染した場合、迅速に復元できる。また、ハニーネットはネットワーク上の2つ以上のハニーポットで構成され、ハニーファームはハニーポットと分析ツールの集中管理コレクションである。
ハニーポットの導入と管理は、オープンソースと商用の両方のソリューションで支援できる。単体で販売されるハニーポットシステムや、他のセキュリティソフトウェアと組み合わせて欺瞞技術として販売されるハニーポットがある。ハニーポットソフトウェアはGitHubで入手でき、初心者がハニーポットの使用方法を学ぶのに役立つ。
ハニーポットの種類
スマートコントラクトの設計と展開に基づいて、研究用と本番用の2種類のハニーポットがある。研究用ハニーポットは攻撃に関する情報を収集し、実際の悪意ある行動を分析するために使用される。
環境内外の両方を見ることで、攻撃者の傾向、脆弱性、敵対者が現在標的にしているマルウェア株に関する情報を入手する。この情報は、予防的防御、パッチの優先順位、将来の投資の決定に役立つ。
一方、本番用ハニーポットは、アクティブなネットワーク侵入の検出と攻撃者の欺瞞を目的とする。ハニーポットは追加の監視機会を提供し、ネットワークスキャンや横方向の移動を識別する際の一般的な検出ギャップを埋める。そのため、データ取得は引き続き最優先の責任である。
本番用ハニーポットは、他の本番サーバーと一緒に環境内で通常動作するサービスを実行する。研究用ハニーポットは、本番用よりも複雑で、より多くのデータタイプを保存する。
また、企業が必要とする洗練度に応じて、本番用と研究用のハニーポットの内部にも多くの階層がある。
-
高対話型ハニーポット:純粋ハニーポットに類似し、多数のサービスを実行するが、洗練度は低く、保持するデータも少ない。高対話型ハニーポットは本格的な本番システムを再現するようには設計されていないが、機能するオペレーティングシステムを含む、本番システムに一般的に関連するすべてのサービスを実行(または実行しているように見える)。導入企業は、このハニーポット形式を使用して攻撃者の行動や戦略を観察できる。高対話型ハニーポットは多くのリソースを必要とし、保守が難しいが、結果は価値がある。
-
中対話型ハニーポット:アプリケーション層の特性を模倣するが、独自のオペレーティングシステムを欠く。攻撃者を妨害または混乱させ、企業が攻撃に適切に対応する時間を増やすことを試みる。
-
低対話型ハニーポット:本番環境で最も一般的に使用されるハニーポット。低対話型ハニーポットは少数のサービスを実行し、主に早期警告検出ツールとして使用される。多くのセキュリティチームは、セットアップと保守が簡単なため、ネットワークのさまざまなセグメントに複数のハニーポットをインストールする。
-
純粋ハニーポット:大規模で本番環境に似たシステムで、複数のサーバー上で動作する。センサーが満載で、「機密」データとユーザー情報を含む。提供する情報は非常に価値があるが、複雑で管理が難しい場合がある。
いくつかのハニーポット技術
以下は、使用されているハニーポット技術の一部である。
-
クライアントハニーポット:ほとんどのハニーポットは接続を待ち受けるサーバーである。クライアントハニーポットは、クライアントを標的とする悪意のあるサーバーを積極的に探し出し、ハニーポットに不審な変更や予期しない変更がないか監視する。これらのシステムは通常仮想化されており、研究チームの安全を維持するための封じ込め計画が整備されている。
-
マルウェアハニーポット:確立された複製および攻撃チャネルを使用してマルウェアを識別する。ハニーポット(Ghostなど)はUSBストレージデバイスを模倣するように設計されている。例えば、マシンがUSBを介して拡散するマルウェアに感染した場合、ハニーポットはマルウェアを欺いてシミュレートされたデバイスに感染させる。
-
ハニーネット:ハニーネットは単一システムではなく、複数のハニーポットからなるネットワークである。ハニーネットは、すべてのインバウンドおよびアウトバウンド通信を封じ込めながら、攻撃者の行動と動機を追跡するように設計されている。
-
スパムハニーポット:オープンメールリレーとオープンプロキシをシミュレートする。スパマーはまず自分自身にメールを送信して、利用可能なメールリレーをテストする。成功すると、膨大な量のスパムを送信する。この形態のハニーポットは、テストを検出および認識し、それに続く大量のスパムを正常にブロックできる。
-
データベースハニーポット:SQLインジェクションはしばしばファイアウォールで検出されないため、一部の組織はデータベースファイアウォールを導入してデコイデータベースを構築し、ハニーポットサポートを提供する。
暗号資産ハニーポットを見分ける方法は?
取引履歴を調べることは、ハニーポット詐欺を認識する方法の1つである。通常、暗号資産はいつでも購入および売却できるはずである。ハニーポット詐欺では、そのコインに対して多くの購入があるが、人々はそれを売却するのに苦労する。これは、それが正当なコインではなく、避けるべきであることを示している。
さらに、コントラクトの取引行動に基づくデータサイエンスアプローチを使用して、コントラクトをハニーポットまたは非ハニーポットに分類することができる。
イーサリアムスマートコントラクトのどこでハニーポットが発生する可能性があるか?
ハニーポットは、イーサリアムスマートコントラクト実装の3つの異なる領域で発生する可能性がある。これらが3つのレベルである。
- イーサリアム仮想マシン(EVM):EVMは確立された標準とルールのセットに従うが、スマートコントラクト作成者は、一見すると誤解を招くか不明確な方法でコードを提示できる。これらの戦術は、不注意なハッカーにとって高くつく可能性がある。
- Solidityコンパイラ:スマートコントラクト開発者が利用できる2番目の領域はコンパイラである。特定のコンパイラレベルのバグは十分に文書化されているが、そうでないものもある。これらのハニーポットは、コントラクトが実際の環境でテストされていない限り、発見が難しい場合がある。
- Etherscanブロックチェーンエクスプローラー:3番目の種類のハニーポットは、ブロックチェーンエクスプローラーに表示されるデータが不完全であるという事実に基づいている。多くの人がEtherscanのデータを暗黙的に信頼しているが、それは必ずしも全体像を示すわけではない。一方、狡猾なスマートコントラクト開発者は、エクスプローラーのいくつかの癖を利用できる。
ハニーポットコントラクト詐欺から身を守る方法は?
このセクションでは、資金を失わないためにハニーポット詐欺から逃れる方法を案内する。危険信号を確認し、これらの通貨を避けるのに役立つツールが利用可能である。例えば、購入しているコインがイーサリアムネットワーク上にある場合はEtherscanを使用し、検討中のコインがバイナンススマートチェーン上にある場合はBscScanを使用する。
コインのトークンIDを調べ、適切なウェブサイトに入力する。次のページで「トークントラッカー」に移動する。「保有者」というラベルのタブが表示される。そこでは、トークンを保有するすべてのウォレットと流動性プールを確認できる。残念ながら、注意すべき項目の組み合わせは多数ある。以下は、ハニーポット詐欺から身を守るために知っておくべき危険信号の一部である。
- デッドコインがない:50%以上のコインがデッドウォレットにある場合、プロジェクトはラグプルから比較的保護されているが、ハニーポットからではない(通常0x000000000000000000000000000000000000deadとして識別される)。半分未満のコインがデッドであるか、デッドがない場合は注意する。
- 監査がない:信頼できる会社が監査している場合、ハニーポットの可能性はほぼ常に排除される。
- 大口ウォレット保有者:ウォレットが1つまたは少数しかない暗号資産は避ける。
- ウェブサイトを精査する:これはかなり明白だが、ウェブサイトが急ごしらえで開発が貧弱な場合、これは警告サインである!1つのコツは、whois.domaintools.comにアクセスし、ドメイン名を入力してウェブサイトがいつ登録されたかを確認することである。プロジェクト開始から24時間以内またはそれ以下でドメインが登録されている場合、詐欺である可能性が非常に高い。
- ソーシャルメディアをチェックする:詐欺プロジェクトは通常、盗まれた低品質の写真、文法的な問題、魅力的でない「スパムメッセージ」(「下にETHアドレスをドロップしてください!」など)、関連するプロジェクト情報へのリンクがないなどの特徴がある。
トークンスニファーも、ハニーポットを見分ける優れたリソースである。右上のトークンIDを入力して「自動コントラクト監査」結果を探す。アラートがある場合はプロジェクトから遠ざかる。多くのプロジェクトが現在コントラクトテンプレートを使用しているため、「以前の類似トークンコントラクトなし」の表示は誤検出である可能性がある。
コインがバイナンススマートチェーンに上場されている場合は、PooCoinにアクセスし、再度トークンIDを入力してチャートを監視する。選択したコインを販売しているウォレットがない場合、または1つか2つのウォレットだけが販売している場合は、近づかない。ハニーポットである可能性が高い。多くのウォレットが選択したコインを販売している場合は、ハニーポットではない。最後に、暗号資産を購入する際には、苦労して稼いだお金を手放す前に徹底的な調査を行うべきである。
ハニーポットはハニーネットとどう違うのか?
ハニーネットは、2つ以上のハニーポットで構成されるネットワークである。接続されたハニーポットネットワークを持つことは有益である。これにより、企業は攻撃者が単一のリソースやネットワークポイントとどのように相互作用するか、また侵入者がネットワークポイント間をどのように移動し、複数のポイントと同時に相互作用するかを追跡できる。
目的は、ハッカーにネットワークへの侵入に成功したと思わせることである。したがって、偽のネットワークロケーションを追加することで、設定のリアリティが高まる。次世代ファイアウォール、侵入検知システム、セキュアウェブゲートウェイなどのより高度な実装を備えたハニーポットとハニーネットは、欺瞞技術と呼ばれる。侵入検知システムとは、ネットワーク上の悪意ある活動やポリシー違反を監視するデバイスまたはソフトウェアプログラムを指す。欺瞞技術の自動化機能により、ハニーポットは潜在的な攻撃者にリアルタイムで応答できる。
ハニーポットは、サイバー脅威が出現するにつれて、企業が常に変化するリスク環境に対応するのに役立つ。ハニーポットは、組織が準備万端であることを保証するための重要な情報を提供し、すべての攻撃を予測して防止することは不可能だが、攻撃者を現行犯で捕まえるためのおそらく最良の手段である。また、サイバーセキュリティ専門家にとって優れた知識源でもある。
ハニーポットの長所と短所は?
ハニーポットは実際の攻撃やその他の不正行為からデータを収集し、アナリストに豊富な知識を提供する。さらに、偽陽性も少ない。例えば、通常のサイバーセキュリティ検知システムは多くの偽陽性を生成する可能性があるが、ハニーポットは正当なユーザーがハニーポットに接触する動機がないため、偽陽性の数を最小限に抑える。
さらに、ハニーポットは有益な投資である。なぜなら、ハニーポットは悪意ある行動とのみ対話し、攻撃を探すために大量のネットワークデータを処理する高性能リソースを必要としないからである。最後に、攻撃者が暗号化を使用している場合でも、ハニーポットは悪意あるアクティビティを検出できる。
ハニーポットには多くの利点があるが、多くの欠点とリスクもある。例えば、ハニーポットは攻撃があった場合にのみデータを収集する。ハニーポットにアクセスしようとする試みがない場合、攻撃を分析するためのデータは存在しない。
さらに、ハニーポットネットワークによって収集された悪意あるトラフィックは、攻撃が仕掛けられた場合にのみ収集される。攻撃者がネットワークがハニーポットであると疑った場合、それを避ける。
ハニーポットは一般的に正当な本番システムから認識可能であり、つまり、熟練したハッカーはシステムフィンガープリンティング技術を使用して、本番システムとハニーポットシステムを簡単に区別できる。
ハニーポットは実際のネットワークから隔離されているが、最終的には管理者が保持するデータにアクセスできるように何らかの方法で接続される。高対話型ハニーポットは、ルートアクセスを取得するためにハッカーを誘い込もうとするため、一般的に低対話型よりもリスクが高いと考えられている。
全体として、ハニーポットは研究者がネットワークシステムのリスクを理解するのに役立つが、標準のIDSの代わりに使用すべきではない。例えば、ハニーポットが正しく設定されていない場合、実際のシステムへのアクセスを得たり、他のシステムへの攻撃の発射台として悪用される可能性がある。