Entry № 546
ハニーユーザー
ハニーユーザー とは何ですか?
ハニーユーザーディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。
ハニーユーザーとは、Active Directory または Entra ID のアカウント、人事レコード、場合によってはメールボックスまで備えた、もっともらしい従業員プロファイルのおとり人物です。実在しない人物なので、正規のプロセスや人間がこのアカウントで認証したり、グループを列挙したり、メールを送ったりすることはあり得ません。ハニーユーザーは、認証情報のダンプ、Kerberoasting、AS-REP roasting、パスワードスプレーといった攻撃の検知に特に有効です。Microsoft Defender for Identity や CrowdStrike Falcon Identity などの ITDR 製品、独立系のデセプションプラットフォームで広く採用されています。
● 例
- 01
弱いパスワードを設定した AD アカウント svc-backup-2 が、ログインの瞬間に通知する。
- 02
人事システム上のハニーユーザーが、社員ディレクトリを列挙する内部不正者を検知する。
● よくある質問
ハニーユーザー とは何ですか?
ディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ハニーユーザー とはどういう意味ですか?
ディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。
ハニーユーザー からどのように防御しますか?
ハニーユーザー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ハニーユーザー の別名は何ですか?
一般的な別名: おとりアカウント, ハニーアイデンティティ。