特許ウォッチ

公開番号2025176031
公報種別公開特許公報(A)
公開日2025-12-03
出願番号2025136348,2024130983
出願日2025-08-19,2020-09-02
発明の名称サービスとしてのインフラストラクチャの機密保護のためのハニーポット
出願人オラクル・インターナショナル・コーポレイション
代理人弁理士法人深見特許事務所
主分類G06F 21/55 20130101AFI20251126BHJP(計算;計数)
要約【課題】ハニーポットを利用して攻撃者をおびき寄せて、IaaS(Infrastructure-as-a-Service:サービスとしてのインフラストラクチャ)インスタンスに対する攻撃パターンについてのデータを収集する方法を提供する。
【解決手段】ハニーポットサーバは、IaaSインスタンスに関する要求を攻撃者から受信すると、要求に対する応答を生成し、要求に応じてこの応答が攻撃者に通信する。また、ハニーポットサーバは、攻撃者に関するデータ及び攻撃者によるハニーポットサーバとの1つ以上のやり取りに関するデータを記録する。
【選択図】図4
特許請求の範囲【請求項１】
方法であって、
コンピューティングインスタンスが、複数のハニーポットサーバを提供するステップを含み、前記複数のハニーポットサーバに含まれる各ハニーポットサーバは、ハニーポット種別を含み、前記方法は、さらに、
前記コンピューティングインスタンスが、攻撃者をおびき寄せて、前記複数のハニーポットサーバのうち少なくとも１つのハニーポットサーバとセッションを確立させるステップと、
前記コンピューティングインスタンスが、前記攻撃者から第１の要求を受信するステップとを含み、前記第１の要求は、前記インスタンスに関する要求であり、要求特性を含み、前記方法は、さらに、
前記コンピューティングインスタンスが、前記要求特性および前記ハニーポット種別の少なくとも一部に基づいて、前記複数のハニーポットサーバのうち特定のハニーポットサーバを特定するステップと、
前記コンピューティングインスタンスが、前記特定のハニーポットサーバと接続するためのセッションを前記攻撃者と確立するステップと、
前記コンピューティングインスタンスの前記特定のハニーポットサーバが、前記攻撃者からの第２の要求に対する応答を生成するステップと、
前記コンピューティングインスタンスの前記特定のハニーポットサーバが、前記第２の要求に応じて前記応答を前記攻撃者まで通信させるステップと、
前記コンピューティングインスタンスが、前記攻撃者に関するデータまたは前記攻撃者による前記特定のハニーポットサーバとの１つ以上のやり取りに関するデータを記録するステップとを含む、方法。
続きを表示（約 850 文字）【請求項２】
前記コンピューティングインスタンスは、ＩａａＳ（Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ－ａｓ－ａ－Ｓｅｒｖｉｃｅ）コンピューティングインスタンスを含む、請求項１に記載の方法。
【請求項３】
前記ＩａａＳコンピューティングインスタンスは、ＩａａＳサービスプロバイダ環境に対応するＩａａＳサービスプロバイダのコントローラによって実行される、請求項２に記載の方法。
【請求項４】
前記ＩａａＳコンピューティングインスタンスは、前記ＩａａＳサービスプロバイダ環境の外部にあるサードパーティサービスプロバイダによって実行される、請求項３に記載の方法。
【請求項５】
前記第２の要求に対する前記応答は、前記ＩａａＳサービスプロバイダからの応答であるように見えるよう構成される、請求項４に記載の方法。
【請求項６】
前記複数のハニーポットサーバは、前記コンピューティングインスタンスのそれぞれのコンテナに実現される、請求項１に記載の方法。
【請求項７】
前記それぞれのコンテナの各コンテナは、前記複数のハニーポットサーバの各ハニーポットサーバをエミュレートするように構成される、請求項１に記載の方法。
【請求項８】
前記応答を生成するステップは、前記応答を生成するためにルール情報を使用するステップを含む、請求項１に記載の方法。
【請求項９】
前記おびき寄せるステップは、パブリックネットワークで１つ以上のポートを公開する
ステップを含む、請求項１に記載の方法。
【請求項１０】
前記１つ以上のポートは、ＳＳＨ（セキュアシェル）ポート２１、ＦＴＰ（ファイル転送プロトコル）ポート２２、またはＳＭＴＰ（ＳｉｍｐｌｅＭａｉｌＴｒａｎｓｆｅｒＰｒｏｔｏｃｏｌ）ポート２５、のうち少なくとも１つを含む、請求項９に記載の方法。
（【請求項１１】以降は省略されています）
発明の詳細な説明【技術分野】
【０００１】
関連出願の相互参照
本願は、米国特許法第１１９条（ｅ）の下、２０１９年９月４日に出願され、「ＨＯＮＥＹＰＯＴＳＦＯＲＩＮＦＲＡＳＴＲＵＣＴＵＲＥ－ＡＳ－Ａ－ＳＥＲＶＩＣＥＳＥＣＵＲＩＴＹ（サービスとしてのインフラストラクチャの機密保護のためのハニーポット）」と題された米国出願第６２／８９５，８４７号、および、２０２０年９月１に出願され、「ＨＯＮＥＹＰＯＴＳＦＯＲＩＮＦＲＡＳＴＲＵＣＴＵＲＥ－ＡＳ－Ａ－ＳＥＲＶＩＣＥＳＥＣＵＲＩＴＹ（サービスとしてのインフラストラクチャの機密保護のためのハニーポット）」と題された米国出願第１７／００９，６３４号の利益および優先権を主張するものであり、それらのすべての記載内容を、あらゆる目的のために引用により本明細書に援用する。
続きを表示（約 3,000 文字）【０００２】
技術分野
本開示は、コンピュータセキュリティに関し、特に、ハニーポットを利用して攻撃者をおびき寄せて、ＩａａＳ（Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ－ａｓ－ａ－Ｓｅｒｖｉｃｅ：サービスとしてのインフラストラクチャ）インスタンスに対する攻撃パターンについてのデータを収集するための技術に関する。そして、収集されたデータは、解析され、このような攻撃を未然に防ぐために利用され得る。
【背景技術】
【０００３】
背景
クラウドベースのサービス（たとえば、ＳａａＳ（Ｓｏｆｔｗａｒｅ－ａｓ－ａ－Ｓｅｒｖｉｃｅ）、ＰａａＳ（Ｐｌａｔｆｏｒｍ－ａｓ－ａ－Ｓｅｒｖｉｃｅ）、ＩａａＳ（Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ－ａｓ－ａ－Ｓｅｒｖｉｃｅ））が急速に増加して普及し、重要な業務運営を行うためにクラウドサービスプロバイダが提供するクラウドサービスにサブスクライブする団体（たとえば、会社、企業、政府機関、教育機関）が増加している。このようなクラウドが提供する製品が増えているので、クラウドサービスプロバイダは、クラウドサービスを提供するインフラストラクチャに対する悪意のあるユーザによる攻撃からのセキュリティ脅威の増加に直面している。また、クラウドサービスのサブスクライバ（たとえば、団体）も、これらの攻撃による悪影響を受けている。このような攻撃を特定して防げるようになることは、サブスクライバおよびクラウドサービスプロバイダの両者にとって最大の利益に繋がる。
【０００４】
しかしながら、クラウド製品に関して、どのように攻撃が起こるのか、および／またはどのように攻撃を防げばよいのかが不明であることが何度もある。この理由は、クラウドセキュリティが比較的非常に新しい、すなわち、従来のネットワークおよび／またはデバイスレベルのセキュリティとは対照的に、新しいタイプのセキュリティであるためである。既存のクラウドセキュリティソリューションは、レベルがとても低く、本質的に事後対応的である。つまり、攻撃されてからどう対処するかを考える。
【０００５】
初期のクラウド攻撃は、ＳａａＳサービスおよびＰａａＳサービスを提供するインスタンスを対象としていたが、最近では、より多くのコンピューティングネットワーク、ストレージネットワーク、および仮想ネットワークが抽象化されてクラウドにされ、様々なＩａａＳインスタンスを介して公開されると、ＩａａＳインスタンスに対する攻撃が増える。たとえば、ビットコインのような暗号通貨が普及したことにより、大量のコンピューティングリソース、ストレージリソース、およびネットワークリソースを必要とする暗号通貨のマイニング（たとえば、ビットコインのマイニング）を行うためにコンピューティン
グリソース、メモリリソース、およびネットワークリソースを「盗む」ために、ＩａａＳインスタンスが攻撃される頻度が増えた。ＳａａＳ攻撃およびＰａａＳ攻撃と比較すると、ＩａａＳ攻撃については、まだまだ理解されていない。
【発明の概要】
【課題を解決するための手段】
【０００６】
概要
本開示は、コンピュータセキュリティに関し、特に、ハニーポットを利用して攻撃者をおびき寄せて、ＩａａＳ（Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ－ａｓ－ａ－Ｓｅｒｖｉｃｅ：サービスとしてのインフラストラクチャ）インスタンスに対する攻撃パターンについてのデータを収集するための技術に関する。そして、収集されたデータは、解析され、このような攻撃を未然に防ぐために利用され得る。方法、システム、１つ以上のプロセッサによって実行可能なプログラム、コード、または命令を格納する非一時的なコンピュータ読み取り可能な記憶媒体などを含む、様々な実施の形態を、本明細書において説明する。
【０００７】
特定の実施の形態では、攻撃者をおびき寄せてハニーポットサーバとのセッションを確立するための技術を提供する。ハニーポットサーバは、ＩａａＳインスタンス（Ｉｎｆｒａｓｔｒｕｃｔｕｒｅ－ａｓ－ａ－Ｓｅｒｖｉｃｅインスタンス）に関する要求を攻撃者から受信する。ハニーポットサーバは、要求に対する応答を生成し、要求に応じてこの応答が攻撃者に通信されるようにする。また、ハニーポットサーバは、攻撃者に関するデータ、および攻撃者によるハニーポットサーバとの１つ以上のやり取りに関するデータを記録する。いくつかの実施の形態では、ハニーポットサーバから構成されるネットワーク（ハニーネットとも称する）が提供され得る。
【０００８】
攻撃者から受信した要求を処理することの一部として、ハニーポットサーバは、要求に対応するアクションを決定する。このアクションは、たとえば、ＩａａＳインスタンスのインスタンス化を要求するアクションであり得る。そして、ハニーポットサーバは、コンピューティングリソース、ストレージリソース、またはネットワークリソース少なくとも１つを使用して、要求されたＩａａＳインスタンスをインスタンス化する。そして、ハニーポットサーバは、ＩａａＳインスタンスが正常にインスタンス化されたことを示す応答を攻撃者に返す。
【０００９】
特定の場合、攻撃者から受信した要求は、予めインスタンス化されたＩａａＳインスタンスを使用して実行されるアクションを要求し得る。そして、ハニーポットサーバは、当該予めインスタンス化されたＩａａＳインスタンスにアクションを適用することにより、要求に対する応答を生成し得る。
【００１０】
特定の実施の形態では、ハニーポットサーバは、ＩａａＳインスタンスをインスタンス化するというアクションが実行されることを要求が求めていると判断し得る。そして、ハニーポットサーバは、実際にＩａａＳインスタンスをインスタンス化しないで、要求されたＩａａＳインスタンスが正常にインスタンス化されたことを示す要求に対する応答を生成し得る。場合によっては、攻撃者からの要求は、ＩａａＳインスタンスを使用してアクションが実行されることを要求し得る。ハニーポットサーバは、実際にアクションを実行することなく、また、ＩａａＳインスタンスがインスタンス化されることなく、要求されたアクションに対して適切な応答を生成するように構成される。このようなシナリオでは、ハニーポットサーバは、適切な応答を生成するために、ルール情報を使用してもよい。たとえば、ルール情報は、複数のアクションを特定する情報と、アクションごとに、当該アクションに対応する少なくとも１つの応答とを含み得る。そして、ハニーポットサーバは、このルール情報を使用して、攻撃者が要求したアクションに対する適切な応答を見つけ得る。一実施の形態において、ハニーポットサーバは、ルール情報を検索して、対応す
るアクションが攻撃者が要求したアクションと一致する項目をルール情報から見つけ得る。そして、ハニーポットサーバは、項目を使用して、要求されたアクションが正常に実行されたと攻撃者に信じ込ませるように、攻撃者に送信する応答を決定し得る。
（【００１１】以降は省略されています）

関連特許