Koney: Kubernetes向けサイバー欺瞞

Koney: Kubernetes向けサイバー・ディセプションオーケストレーション・フレームワーク

Authors:
Mario Kahlhofer (Dynatrace Research – mario.kahlhofer@dynatrace.com)
Matteo Golinelli (University of Trento – matteo.golinelli@unitn.it)
Stefan Rass (Johannes Kepler University Linz – stefan.rass@jku.at)

はじめに
課題定義
Kubernetes 用語
サイバー・ディセプションポリシー
4.1 ファイルシステム上のトラップ
4.2 Web アプリケーション上のトラップ
4.3 リソースの選択
Koney オペレーター
5.1 デコイ展開戦略
5.1.1 containerExec 戦略
5.1.2 volumeMount 戦略
5.1.3 istio デコイ戦略
5.2 キャプター展開戦略
5.2.1 tetragon 戦略
5.2.2 istio キャプター戦略
5.3 補助機能
評価
6.1 ユースケース網羅性
6.2 運用上のトレードオフ
6.3 運用パフォーマンス
考察
7.1 拡張性
関連研究
8.1 ファイルシステムでのディセプション研究
8.2 Web アプリケーションでのディセプション研究
8.3 ディセプションポリシー & オペレーター研究
結論
サンプルサイバー・ディセプションポリシー
A.1 ファイルシステム用サンプル
A.2 Web アプリケーション用サンプル
参考文献

はじめに {#introduction}

クラウドネイティブ環境が急速に進化する今日、サイバー・ディセプション（欺き技術）は、実被害が生じる前に攻撃者を攪乱する有望なアプローチとして注目されています。サイバー・ディセプションとは、インフラ全体にトラップやデコイ、ハニートークンを戦略的に配置し、攻撃者を検知・遅延・分析する手法です。Kubernetes のようなコンテナオーケストレーション基盤を利用すれば、アプリケーションのソースコードへ手を加えずシームレスに導入できます。

Koney は、Kubernetes 専用に設計された新しいサイバー・ディセプションオーケストレーションフレームワークです。オペレーター型のデプロイモデルを採用し、システム運用者が多彩なディセプション技術を「コードとして」記述・展開・ローテーション・監視・廃止できます。本稿では、Koney の設計・実装・実運用例を詳細に解説し、Bash や Python による CLI 使用例・サンプルコードを通じて、開発者が Kubernetes クラスタへディセプションを統合する方法を示します。

この記事を読み終えるころには、次の点を理解できるでしょう。

サイバー・ディセプションの概念と現代のサイバーセキュリティにおける重要性
Koney が Kubernetes クラスタ上でディセプションポリシーをコードとして適用する仕組み
デコイ／キャプター展開戦略など主要コンポーネントの相互作用
継続的監視や侵害検知のための実例とコマンドライン活用方法

課題定義 {#problem-statement}

サイバー・ディセプションの有効性は広く知られているものの、導入をためらう組織は少なくありません。その主な理由は次のとおりです。

導入手順の複雑さへの懸念
ポリシー文書を「コードとして」取り扱い維持する難しさ
ソースコード修正なしで動的環境を管理するハードル

Koney は次の重要課題に対処します。

サイバー・ディセプション技術を構造化ポリシー文書としてどのように形式化するか。
多くの組織が抱える制約（アプリケーションソースコードの非公開など）下で、これらポリシーを Kubernetes クラスタに自動デプロイする方法は何か。

サービスメッシュ（Istio 等）やカーネル内機構（eBPF 等）のクラウドネイティブ技術を活用し、既存コンテナアプリへ透過的にディセプションを組み込みます。運用負荷を最小化しつつ、保守性・スケーラビリティ・パフォーマンスを重視した設計思想が特徴です。

Kubernetes 用語 {#kubernetes-terminology}

Koney を理解する上で重要な Kubernetes の基本用語を整理します。

Pod: 1 つ以上のコンテナをまとめた最小デプロイ単位。ネットワーク名前空間やストレージを共有。
Deployment: Pod のレプリカを管理し、望ましい状態を維持する上位抽象。
Operator: カスタムコントローラ。運用ノウハウをコード化し Kubernetes 機能を拡張。Koney オペレーターがこれに当たる。
Service Mesh: サイドカーを用いたサービス間通信レイヤ（例: Istio）。ポリシーや設定を集中適用。
eBPF (extended Berkeley Packet Filter): カーネルソースコードを変更せず高速モニタリング／セキュリティ制御を実現する技術。
Custom Resource Definitions (CRD): Kubernetes に新しいリソース種別を追加できる仕組み。Koney はディセプションポリシーを CRD として定義。

実例: Pod 内ネットワーク監視

# Pod 内のネットワークトラフィックを確認
kubectl exec -it <pod-name> -- tcpdump -i eth0 -nn

このコマンドで異常トラフィックを検知できます。Koney も同様に、サイドカーや eBPF プローブを用いて通常機能を阻害せずディセプションを注入します。

サイバー・ディセプションポリシー {#cyber-deception-policies}

ディセプションポリシーは、インフラへ展開するデコイやトラップの設定・挙動を定義する文書です。Koney ではこれらを「コードとして」管理し、既存のツールチェーンでバージョン管理・レビューを容易にします。

ファイルシステム上のトラップ {#traps-in-file-systems}

ハニーファイル・ハニートークン・ハニードキュメント・ハニーディレクトリなど、高価値を装った疑似データを作成し、アクセスをトリガにログやアラートを発生させます。

ユースケース

ハニートークン: 偽のパスワードや鍵を含む小さなファイル。
ハニードキュメント: 機密に見せかけた PDF や Office 文書。
ハニーディレクトリ: ダミーデータを格納したディレクトリ構造。

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: honeytoken-policy
spec:
  trapType: fileSystem
  details:
    fileName: "secrets.txt"
    content: "username: admin\npassword: Pa$w0rd123"
    triggerAlert: true

Web アプリケーション上のトラップ {#traps-in-web-applications}

HTTP トラフィックを対象に、偽エンドポイント注入・ヘッダ改変・レスポンスボディ改変・ページ全体のスプーフィングを行います。

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: web-deception-policy
spec:
  trapType: webApplication
  details:
    endpoint: "/wp-admin"
    responseType: fixed
    responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>"
    triggerAlert: true

リソースの選択 {#selecting-resources}

ポリシーで対象 Pod/Namespace をラベル等で細かく指定可能です。

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: target-specific-policy
spec:
  trapType: fileSystem
  selector:
    matchLabels:
      role: sensitive
  details:
    fileName: "credentials.log"
    content: "dummy-credentials"
    triggerAlert: true

Koney オペレーター {#the-koney-operator}

Koney は Kubernetes オペレーターとして動作し、ディセプションのライフサイクル（セットアップ・ローテーション・アラート・クリーンアップ）を自動化します。

デコイ展開戦略 {#decoy-deployment-strategies}

containerExec 戦略 {#containerexec-strategy}

Pod 内でコマンドを実行し、ファイルを作成・設定変更を行います。

kubectl exec -it <pod-name> -- /bin/sh -c "echo 'dummy data' > /app/honeytoken.txt"

volumeMount 戦略 {#volumemount-strategy}

専用ボリューム（例: ConfigMap）をマウントしてハニーファイルを注入。

apiVersion: v1
kind: Pod
metadata:
  name: decoy-pod
spec:
  containers:
  - name: app
    image: myapp:latest
    volumeMounts:
    - name: deception-volume
      mountPath: /app/decoy-files
  volumes:
  - name: deception-volume
    configMap:
      name: decoy-config

istio デコイ戦略 {#istio-decoy-strategy}

Istio の Envoy フィルタで HTTP リクエスト/レスポンスを動的にリライト。

apiVersion: networking.istio.io/v1alpha3
kind: VirtualService
metadata:
  name: deception-virtual-service
spec:
  hosts:
  - myapp.example.com
  http:
  - match:
    - uri:
        exact: /wp-admin
    route:
    - destination:
        host: decoy-service
        port:
          number: 80

キャプター展開戦略 {#captor-deployment-strategies}

tetragon 戦略 {#tetragon-strategy}

eBPF ベースでシステムコール・ファイルアクセス・ネットワークイベントをリアルタイム監視。

import json
def parse_tetragon_log(log_file):
    with open(log_file, 'r') as f:
        for line in f:
            try:
                event = json.loads(line)
                if 'deception_triggered' in event:
                    print("疑わしいアクセス検出:", event)
            except json.JSONDecodeError:
                continue
if __name__ == "__main__":
    parse_tetragon_log('/var/log/tetragon/deception.log')

istio キャプター戦略 {#istio-captor-strategy}

Envoy フィルタで HTTP ヘッダやリクエスト詳細を記録。

apiVersion: networking.istio.io/v1alpha3
kind: EnvoyFilter
metadata:
  name: captor-filter
spec:
  workloadSelector:
    labels:
      app: myapp
  configPatches:
  - applyTo: HTTP_FILTER
    match:
      context: SIDECAR_INBOUND
    patch:
      operation: INSERT_BEFORE
      value:
        name: envoy.filters.http.lua
        typed_config:
          "@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua"
          inlineCode: |
            function envoy_on_request(request_handle)
              local headers = request_handle:headers()
              request_handle:logInfo("Captor Trigger: " .. headers:get("User-Agent"))
            end

補助機能 {#auxiliary-functions}

ポリシー検証
ローテーション管理
アラート & レポーティング
リソースクリーンアップ

評価 {#evaluation}

ユースケース網羅性 {#use-case-coverage}

多種多様なディセプションをサポートし、テストベッドで 90% 以上の検知率を達成しました。

運用上のトレードオフ {#operational-trade-offs}

リソース消費 vs. セキュリティ: 追加オーバーヘッドは軽微。
誤検知: ラベル/Namespace で対象を限定し最小化。
複雑さ vs. 柔軟性: オペレーターが抽象化。

運用パフォーマンス {#operational-performance}

リコンシリエーション遅延 < 100 ms
サイドカー・eBPF プローブによる影響は小さい
Prometheus/Grafana でメトリクス確認可

考察 {#discussion}

拡張性 {#extensions}

非 HTTP プロトコル対応
機械学習連携
高度な UI
他セキュリティ製品との連携

ファイルシステムでのディセプション研究 {#works-deception-filesystems}

既存研究をベースに、Kubernetes 向けにスケール可能な形で実装。

Web アプリケーションでのディセプション研究 {#works-deception-webapps}

Istio 統合により動的 HTTP 操作を自動化。

ディセプションポリシー & オペレーター研究 {#works-deception-policies}

ポリシー-as-Code 手法を発展させ、ライフサイクル全体を自動化。

結論 {#conclusion}

Koney はクラウドネイティブ環境のディセプション導入障壁を大幅に下げます。

豊富なポリシー記述スキーマ
containerExec / volumeMount / Istio ベースの柔軟なデプロイ
キャプター戦略による詳細な監視・アラート

サンプルサイバー・ディセプションポリシー {#sample-policies}

A.1 ファイルシステム用サンプル {#samples-filesystems}

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: filesystem-honeytoken
spec:
  trapType: fileSystem
  selector:
    matchLabels:
      app: sensitive-data
  details:
    fileName: "credentials.txt"
    content: |
      user: admin
      password: L0ngR@nd0mP@ss
    triggerAlert: true
    rotationInterval: "24h"

A.2 Web アプリケーション用サンプル {#samples-webapps}

apiVersion: koney/v1
kind: DeceptionPolicy
metadata:
  name: webapp-deception
spec:
  trapType: webApplication
  selector:
    matchLabels:
      app: my-web-app
  details:
    endpoint: "/admin"
    responseType: fixed
    responseContent: |
      <html>
      <body>
        <h2>Decoy Admin Panel</h2>
        <p>This page is a decoy. Any unauthorized access is logged.</p>
      </body>
      </html>
    triggerAlert: true
    rotationInterval: "12h"

評価: 実運用統合例

# ポリシーを適用
kubectl apply -f filesystem-honeytoken.yaml
kubectl apply -f webapp-deception.yaml

# Koney オペレーターのログを監視
kubectl logs -f deployment/koney-operator -n security

Python スクリプトで tetragon ログを解析し、SIEM へ通知することで自動隔離まで実現可能です。

参考文献 {#references}

補足:

サイバー・ディセプション技術に関する研究論文
Kubernetes CRD ドキュメント

Koney は、コンテナ化環境を守るためのサイバー・ディセプションを民主化する重要な一歩となります。読者の皆様もぜひ Kubernetes クラスタで Koney を試し、その進化に貢献してください。

Happy Decepting!

キーワード: サイバー・ディセプション, Kubernetes, Koney オペレーター, サイバーセキュリティ, ハニーポット, ハニートークン, Istio, Service Mesh, eBPF, DevSecOps, コンテナセキュリティ, Policy-as-code

apiVersion: koney/v1 kind: DeceptionPolicy metadata: name: honeytoken-policy spec: trapType: fileSystem details: fileName: "secrets.txt" content: "username: admin\npassword: Pa$w0rd123" triggerAlert: true

apiVersion: koney/v1 kind: DeceptionPolicy metadata: name: web-deception-policy spec: trapType: webApplication details: endpoint: "/wp-admin" responseType: fixed responseContent: "<html><body><h1>Fake Admin Login Portal</h1></body></html>" triggerAlert: true

apiVersion: koney/v1 kind: DeceptionPolicy metadata: name: target-specific-policy spec: trapType: fileSystem selector: matchLabels: role: sensitive details: fileName: "credentials.log" content: "dummy-credentials" triggerAlert: true

apiVersion: v1 kind: Pod metadata: name: decoy-pod spec: containers: - name: app image: myapp:latest volumeMounts: - name: deception-volume mountPath: /app/decoy-files volumes: - name: deception-volume configMap: name: decoy-config

apiVersion: networking.istio.io/v1alpha3 kind: VirtualService metadata: name: deception-virtual-service spec: hosts: - myapp.example.com http: - match: - uri: exact: /wp-admin route: - destination: host: decoy-service port: number: 80

import json def parse_tetragon_log(log_file): with open(log_file, 'r') as f: for line in f: try: event = json.loads(line) if 'deception_triggered' in event: print("疑わしいアクセス検出:", event) except json.JSONDecodeError: continue if __name__ == "__main__": parse_tetragon_log('/var/log/tetragon/deception.log')

apiVersion: networking.istio.io/v1alpha3 kind: EnvoyFilter metadata: name: captor-filter spec: workloadSelector: labels: app: myapp configPatches: - applyTo: HTTP_FILTER match: context: SIDECAR_INBOUND patch: operation: INSERT_BEFORE value: name: envoy.filters.http.lua typed_config: "@type": "type.googleapis.com/envoy.extensions.filters.http.lua.v3.Lua" inlineCode: | function envoy_on_request(request_handle) local headers = request_handle:headers() request_handle:logInfo("Captor Trigger: " .. headers:get("User-Agent")) end

apiVersion: koney/v1 kind: DeceptionPolicy metadata: name: filesystem-honeytoken spec: trapType: fileSystem selector: matchLabels: app: sensitive-data details: fileName: "credentials.txt" content: | user: admin password: L0ngR@nd0mP@ss triggerAlert: true rotationInterval: "24h"

apiVersion: koney/v1 kind: DeceptionPolicy metadata: name: webapp-deception spec: trapType: webApplication selector: matchLabels: app: my-web-app details: endpoint: "/admin" responseType: fixed responseContent: | <html> <body> <h2>Decoy Admin Panel</h2> <p>This page is a decoy. Any unauthorized access is logged.</p> </body> </html> triggerAlert: true rotationInterval: "12h"

# ポリシーを適用 kubectl apply -f filesystem-honeytoken.yaml kubectl apply -f webapp-deception.yaml # Koney オペレーターのログを監視 kubectl logs -f deployment/koney-operator -n security

Koney: Kubernetes向けサイバー欺瞞

サイバーセキュリティのキャリアを次のレベルへ

Koney: Kubernetes向けサイバー欺瞞

サイバーセキュリティのキャリアを次のレベルへ