@inproceedings{oai:ipsj.ixsq.nii.ac.jp:00201386,
 author = {加藤, 誠也 and 森下, 瞬 and 田辺, 瑠偉 and 吉岡, 克成 and 松本, 勉 and Seiya, Kato and Shun, Morishita and Rui, Tanabe and Katsunari, Yoshioka and Tsutomu, Matsumoto},
 book = {コンピュータセキュリティシンポジウム2019論文集},
 month = {Oct},
 note = {インターネット上で起きている攻撃を観測することを目的とした，脆弱なネットワークサービスを模擬するハニーポットが広く運用されている．しかし，Web アプリケーションやWeb サービスの多様化に伴い，標的となっている機器に特有のポートやサービスを動作させないと攻撃を観測できない事例が出てきている．本研究では，広域スキャンにより収集した応答を用いてWeb ハニーポットの観測能力を向上させる方法を提案する．具体的には，ハニーポットを全TCP ポートで待受状態とし，これらのポートへのアクセスを観測する．その後，アクセスのあった宛先ポートや HTTP 通信のアクセス先のパス情報を元に広域スキャンを行い，攻撃対象となっている機器の応答の収集を試みる．そして，ハニーポットに対して同様の攻撃が観測された際に，収集した応答を用いて攻撃対象を模擬する Web ハニーポットを提案する．評価実験では，提案手法を用いて実現したハニーポットと既存のハニーポットをそれぞれ単一の IP アドレスを用いてインターネット上に28 日間公開したところ，提案手法では HTTP リクエスト数が約 28,000 件増加し，8088/tcp では，既存のハニーポットでは観測できなかった攻撃を観測することができた．また，既存のハニーポットと比べて，およそ7 倍に当たる228 件の検体を取得することができた．, Honeypots that simulate vulnerable network services are widely used to observe attacks on the Internet. However, with the diversication of Web applications and Web services running on various connected devices, it is becoming increasingly difficult to observe attacks on specic ports and services on specic target devices. In this study, we propose a method to improve the observability of Web honeypot using responses collected by network scan. Namely, we first prepare honeypots that listen on all TCP ports to observe various incoming requests on these ports. Then, we scan the Internet with sanitized version of these requests to collect corresponding responses from potential target devices. Finally, we deploy the collected responses to the honeypot to emulate the target devices. In the evaluation experiment, we assigned a single IP address to each honeypot and observed the attacks for 28 days. The number of observed HTTP requests increased by about 28,000 and particularly, a new attack on 8088/tcp was observed by the proposed honeypot．Moreover, 228 malware binaries were captured by the proposed honeypot, which is approximately seven times as many as that of the existing honeypot.},
 pages = {652--659},
 publisher = {情報処理学会},
 title = {広域スキャンで収集した応答を用いた全ポート待受型Webハニーポット},
 volume = {2019},
 year = {2019}
}