ハニーポット

ハニーポットとは

ハニーポット (Honeypot) とは、攻撃者を意図的に引き寄せるために設置する囮のシステムです。正規の業務では使用しないサーバーやサービスを公開し、攻撃者がアクセスしてきた際の行動を記録・分析します。

ハニーポットに対する正規のアクセスは存在しないため、すべてのアクセスを不正な活動として扱えます。この特性により、ファイアウォールや IDS では検知が難しい未知の攻撃手法や、攻撃者の偵察行動を高い精度で捕捉できます。収集した情報は脅威インテリジェンスとして、防御戦略の改善に活用されます。

ハニーポットの種類と対話レベル

• 低対話型ハニーポット: SSH、HTTP、SMB などのサービスをエミュレートし、接続元 IP やログイン試行のパスワードを記録する。構築・運用が容易で、大量に展開してインターネット全体の攻撃傾向を観測するのに適している。Cowrie、Dionaea が代表的なツール
• 高対話型ハニーポット: 実際の OS やアプリケーションを稼働させ、攻撃者に本物のシステムと信じ込ませる。攻撃者がアップロードするマルウェアや横展開の手法を詳細に記録できるが、攻撃者に乗っ取られるリスクがあるため、ネットワーク分離と監視が必須
• ハニーネット: 複数のハニーポットをネットワークとして構成し、攻撃者の横展開 (ラテラルムーブメント) を観測する。組織内ネットワークを模倣し、攻撃者の最終目標までの行動パターンを把握できる

脅威インテリジェンスとしての活用

ハニーポットから得られるデータは、組織の防御力を高める実践的なインテリジェンスになります。

• 攻撃元 IP の収集: ハニーポットにアクセスしてきた IP アドレスをSIEM のブロックリストに自動登録し、本番環境への攻撃を未然に防ぐ
• 攻撃手法の分析: 使用されたエクスプロイトやマルウェアを解析し、自組織のシステムに同じ脆弱性がないか確認する
• 認証情報の傾向把握: ブルートフォース攻撃で試行されるユーザー名・パスワードの傾向を分析し、パスワードポリシーの改善に活かす
• 内部脅威の検知: 社内ネットワークにハニーポットを設置し、正規ユーザーがアクセスするはずのないシステムへの接触を検知する。インシデントレスポンスの早期トリガーとして機能する

ハニーポットの構築方法と代表的ツール

ハニーポットの構築は、目的と運用体制に応じてツールを選定します。

Cowrie は SSH と Telnet に特化した低対話型ハニーポットです。攻撃者が入力したコマンドをすべて記録し、偽のファイルシステムを提示します。ブルートフォース攻撃で使われるパスワード辞書の収集に特に有効で、Docker イメージが公開されており docker run 一発で起動できます。

Dionaea は SMB、HTTP、FTP、MSSQL など多数のプロトコルをエミュレートし、マルウェアの自動収集に強みを持つツールです。攻撃者が送り込んだバイナリを自動保存し、VirusTotal 等の外部サービスと連携して解析できます。

T-Pot は Cowrie、Dionaea、Honeytrap など複数のハニーポットを統合したオールインワンプラットフォームです。Elasticsearch + Kibana によるダッシュボードが付属しており、攻撃元の地理的分布や時系列の攻撃傾向をリアルタイムで可視化できます。クラウド上の VM に ISO イメージからインストールするだけで、20 種類以上のハニーポットが同時に稼働します。

構築時のポイントとして、ハニーポットは本番環境とは別のネットワークセグメントに配置し、ハニーポットから外部への通信を厳しく制限することが不可欠です。攻撃者がハニーポットを踏み台にして他のシステムを攻撃することを防ぐため、アウトバウンド通信はログ転送先のみに限定するのが定石です。

運用上の注意点とリスク

ハニーポットの運用には、技術面だけでなく法的・組織的な考慮が必要です。

法的リスクとして、ハニーポットが攻撃者の踏み台にされた場合、そこから発信された攻撃の責任を問われる可能性があります。日本の不正アクセス禁止法では、ハニーポットの設置自体は違法ではありませんが、攻撃者を「おびき寄せる」行為が捜査機関の捜査手法と競合する場合や、収集したデータの取り扱いについて個人情報保護法との関係を整理しておく必要があります。組織のセキュリティポリシーと法務部門の確認を事前に得ておくことを推奨します。

ネットワーク分離の徹底は最も重要な技術要件です。高対話型ハニーポットでは攻撃者が root 権限を取得する可能性があるため、VLAN 分離に加えてファイアウォールルールでハニーポットセグメントから本番セグメントへの全通信を遮断します。クラウド環境では専用の VPC を作成し、ピアリングを設定しないことで物理的に隔離する方法が確実です。

攻撃者によるピボットのリスクも見落とせません。高対話型ハニーポットを乗っ取った攻撃者が、そこを起点に組織の他のシステムをスキャンしたり、外部への DDoS 攻撃に利用したりする事例が報告されています。アウトバウンド通信の監視と制限、異常な通信量の検知アラートを必ず設定してください。

メンテナンス負荷も現実的な課題です。ハニーポットのソフトウェアを最新に保たないと、攻撃者にハニーポットであることを見破られます。特に高対話型では OS のパッチ適用、サービスのバージョン管理、ログストレージの容量監視が継続的に必要です。運用チームの工数を確保できない場合は、低対話型から始めて段階的に拡張するアプローチが現実的です。

よくある誤解

ハニーポットを設置すると攻撃者を自社ネットワークに招き入れることになり危険

適切に分離されたハニーポットは本番環境と完全に隔離されています。VLAN やファイアウォールルールでハニーポットから本番環境への通信を遮断し、攻撃者がハニーポットを踏み台にできない設計にすることが前提です。

ハニーポットは高度なセキュリティチームがいないと運用できない

低対話型ハニーポットは Docker コンテナで数分で構築でき、ログを SIEM に転送するだけで基本的な運用が可能です。T-Pot のようなオールインワンプラットフォームを使えば、可視化ダッシュボードまで含めて簡単に導入できます。

低対話型と高対話型ハニーポットの違い

関連用語

関連記事