ハニーユーザー
ハニーユーザー とは何ですか?
ハニーユーザーディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。
ハニーユーザーとは、Active Directory または Entra ID のアカウント、人事レコード、場合によってはメールボックスまで備えた、もっともらしい従業員プロファイルのおとり人物です。実在しない人物なので、正規のプロセスや人間がこのアカウントで認証したり、グループを列挙したり、メールを送ったりすることはあり得ません。ハニーユーザーは、認証情報のダンプ、Kerberoasting、AS-REP roasting、パスワードスプレーといった攻撃の検知に特に有効です。Microsoft Defender for Identity や CrowdStrike Falcon Identity などの ITDR 製品、独立系のデセプションプラットフォームで広く採用されています。
● 例
- 01
弱いパスワードを設定した AD アカウント svc-backup-2 が、ログインの瞬間に通知する。
- 02
人事システム上のハニーユーザーが、社員ディレクトリを列挙する内部不正者を検知する。
● よくある質問
ハニーユーザー とは何ですか?
ディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。 サイバーセキュリティの 防御と運用 カテゴリに属します。
ハニーユーザー とはどういう意味ですか?
ディレクトリサービスや人事システムに用意した架空のID。サインインや列挙の試みがあれば即座に攻撃者を露呈させる。
ハニーユーザー はどのように機能しますか?
ハニーユーザーとは、Active Directory または Entra ID のアカウント、人事レコード、場合によってはメールボックスまで備えた、もっともらしい従業員プロファイルのおとり人物です。実在しない人物なので、正規のプロセスや人間がこのアカウントで認証したり、グループを列挙したり、メールを送ったりすることはあり得ません。ハニーユーザーは、認証情報のダンプ、Kerberoasting、AS-REP roasting、パスワードスプレーといった攻撃の検知に特に有効です。Microsoft Defender for Identity や CrowdStrike Falcon Identity などの ITDR 製品、独立系のデセプションプラットフォームで広く採用されています。
ハニーユーザー からどのように防御しますか?
ハニーユーザー に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
ハニーユーザー の別名は何ですか?
一般的な別名: おとりアカウント, ハニーアイデンティティ。
● 関連用語
- defense-ops№ 482
ハニーアカウント
完全な人物像までは作り込まないことが多い、認証情報中心のおとりアカウント。攻撃者が使用を試みた瞬間にアラートを発生させる。
- defense-ops№ 293
デセプション技術
ネットワーク、エンドポイント、AD、クラウド全体におとり・パンくず・偽資産を配置し、高精度に攻撃者を検知・誘導・観察する防御手法。
- network-security№ 485
ハニーポット
攻撃者を誘い込み、その手口を観察して本番資産から引き離すために、意図的に公開された囮システムやサービス。
- network-security№ 486
ハニートークン
実システムに紛れ込ませた偽データ(認証情報・ファイル・レコード・API キー等)で、利用された瞬間にアラートを発する欺瞞アーティファクト。
- attacks№ 583
Kerberoasting
サービスアカウントの Kerberos サービスチケットを要求し、その暗号化部分をオフラインで解析して平文パスワードを取り出すオフラインパスワード攻撃。
● 関連項目
- № 483ハニーファイル