未踏IT人材発掘・育成事業（ユース）：2009年度上期採択プロジェクト概要（鈴木PJ）

1．担当プロジェクトマネージャー

首藤 一幸(東京工業大学 大学院情報理工学研究科 数理・計算科学専攻 准教授)

2．採択者氏名

• チーフクリエータ
  鈴木 友博（東京大学大学院 情報理工学系研究科）

• コクリエータ
  なし

3．未踏プロジェクト管理組織

• 株式会社メルコホールディングス

4．採択金額

• 3,000,000円

5．テーマ名

• 仮想ネットワークを利用した攻撃者監視システムの開発

6．関連Webサイト

• なし

7．申請テーマ概要

複数の仮想的なホストを内部に持つ攻撃監視システム(ハニーポット)を実装する。システムの内部に仮想的なホストを作り出し攻撃をそこへリダイレクトさせることでシステム外部のホストへ危害を与えることなくハニーポット内での攻撃者の行動を観察することができるのが特長である。

また、これらのホスト全体でログを得られるという利点を活かし、従来の各ホスト上のローカルな情報(攻撃者がどんなコマンドを打ったか)に加えて、ホスト間にまたがったグローバルな侵入者の情報(どのホストに侵入したか)を組み合わせた侵入者やマルウェアの情報の提供をグラフィカルに行う。具体的には、システム内のホストでの侵入者の行動記録を特定の時間とホストを指定することで「再生」して見られるようなインターフェイスを作る。

既存のハニーポットシステムでは攻撃者の観察と同時に外部のホストを安全に保つのは難しい。また、ハニーポット内から外部へ向かう接続をリダイレクトする研究はいくつかあるが、そのシステム自体のセキュリティの問題や何台もホストを用意したときの使いやすさ、そして利用者へ侵入者の情報を提供する方法が十分とは言えず、今回のプロジェクトではこれらを解消するシステムを構築する。

8．採択理由

サーバ、PC等へのネットワーク越しの攻撃者をハニーポットというおとりマシンの上で泳がせる、という防衛・解析手法が盛んに研究されている。提案者は、マシン1台ではなくて、マシン「群」を見せて、そのマシン群のネットワーク上で泳がせることを提案している。提案テーマでは、泳がせるためのソフトウェアシステムと、攻撃者の（おとり）ネットワーク上での挙動を理解するための可視化ツールを開発する。

大学院での研究テーマと兼ねるものの、このテーマを考え付いたのは当人だという。アイディアの有用性を示して、現実性がなくもないということさえ示すことができれば、大学院での学業、研究としては成立する。査読をパスできる論文が書けるだろう。ただ、それだけだとすると、あえて未踏で取り組むことの意義は薄い。

一方で、このテーマで実用ソフトウェアを開発するのは大変すぎる。手作業での侵入を試みる攻撃者を騙し切ることのできるハニーポットを開発するには、極めて膨大かつ地道な作業が必要となる。とはいえコンセプトの提示だけで満足して欲しくはない。現実的な到達点は、既存の攻撃ツールをいくつか想定して、それらを騙し切ることのできるところまで作ってデモし、現実性を示す、というあたりだろうか。

オーディションであるPMが指摘したように、攻撃者、攻撃ツールの挙動をいかに可視化するかという点に注力する、という方向もいいだろう。むしろ、研究と実地の狭間のどのあたりに注力していくか、提案者自身に悩んでもらい、その中で自身の方向をつかんでいってもらいたい。

セキュリティやソフトウェア工学を含めた技術への意識の高さ、また、インターンや技術者の集まりに出て行く意欲などにも期待する。