「攻撃を防ぐだけでなく、攻撃者の動きを”見る”仕組みが必要だ」と感じたことはありませんか。ファイアウォールやEDRは侵入を防ぐための装備ですが、攻撃者がどんな手口で何を狙っているのか、それを能動的に把握する手段は意外と知られていません。
そのための技術のひとつがハニーポット(Honeypot)です。
この記事では、ハニーポットの概念・種類・実際の設置方法まで、インフラエンジニアや情シス担当者が「明日から使える」レベルで解説します。中小企業でも無料のOSSツールを使えば導入できます。
ハニーポットとは?
ハニーポットとは、攻撃者を意図的に誘き寄せるために設置する「おとり」のシステムやサービスのことです。英語で「蜂蜜の壷(honey pot)」を意味し、蜂蜜の甘い香りに誘われるように攻撃者を引き寄せることからこの名がつきました。
本来であれば保護すべき本番システムの隣に、わざと脆弱に見える「偽サーバー」や「偽サービス」を置いておき、攻撃者がそこに近づいてきたときに「誰が・いつ・どのような方法で攻撃してきたか」を記録します。
ハニーポットは防御の壁を高くする技術ではなく、攻撃者の行動を観察・記録することで脅威インテリジェンスを収集する技術です。これによって、自社を狙う攻撃者の手口を事前に把握し、本番環境の防御に活かすことができます。
ハニーポットが注目される背景
近年、標的型攻撃(APT攻撃)やランサムウェアの被害は中小企業にも広がっています。攻撃者は単純にポートをスキャンするだけでなく、しばらく社内に潜伏してから動き出すケースも増えています。
こうした状況では「入ってきてから気づく」仕組み、つまり内部に罠を仕掛けておくことが有効です。ハニーポットは、正規ユーザーがアクセスするはずのないシステムです。そこにアクセスがあった時点で「何かがおかしい」とすぐにわかります。
ハニーポットの種類と仕組み
ハニーポットにはいくつかの分類があります。目的と運用コストに合わせて選ぶことが重要です。
1. インタラクションレベルによる分類
・低インタラクション型(Low-interaction): ポートを開放して応答するだけの簡易的なおとり。実装・運用コストが低く、中小企業でも導入しやすい。
・中インタラクション型(Medium-interaction): 特定のプロトコルやサービスを模倣する。SSH・FTP・HTTPなどの偽サービスを提供する。
・高インタラクション型(High-interaction): 本物に近い環境(実際のOSやサービス)を用意して攻撃者を長時間引き留める。収集できる情報量が多い反面、攻撃者に乗っ取られるリスクも伴う。
2. 設置目的による分類
・プロダクションハニーポット: 本番ネットワーク内に設置し、実際の攻撃を検知・記録する目的で使う。内部侵害の早期発見に有効。
・リサーチハニーポット: セキュリティ研究機関が新たな攻撃手法や未知のマルウェアを収集・分析する目的で使う。企業での一般的な用途ではない。
3. ハニーネット(Honeynet)とは
複数のハニーポットを組み合わせてネットワーク全体を模倣したものをハニーネットと呼びます。攻撃者がネットワーク内を横断移動(ラテラルムーブメント)する様子まで観察できるため、高度な脅威分析に利用されます。大企業や研究機関向けの高度な構成です。
ハニーポットで収集できる情報
ハニーポットへのアクセスを記録することで、以下のような情報が得られます。
・攻撃者のIPアドレス: アクセス元のIPを記録し、脅威インテリジェンスと照合する。
・使用している攻撃ツール・手法: どのエクスプロイトやスキャンツールを使っているかがわかる。
・狙っているサービス・ポート: 22番(SSH)・3389番(RDP)・445番(SMB)など、攻撃者が特に関心を持つポートを把握できる。
・認証試行のパターン: 使用するパスワードリストや試行頻度から攻撃の種類を特定できる。
・マルウェアのサンプル: 高インタラクション型では攻撃者がアップロードしたマルウェアを回収できる場合もある。
これらの情報をSIEM(セキュリティ情報イベント管理)に連携させることで、本番環境の防御ルール強化に直結させることができます。
代表的なOSSハニーポットツール
1. Cowrie(SSH/Telnetハニーポット)
Cowrieは最も広く使われているOSSのSSH/Telnetハニーポットです。偽のSSHサーバーを立ち上げ、攻撃者がログインに成功したように見せかけながら、コマンド操作をすべて記録します。
# Python仮想環境でCowrieをインストール(例: Ubuntu 22.04) sudo apt-get install git python3-venv libssl-dev libffi-dev git clone https://github.com/cowrie/cowrie cd cowrie python3 -m venv cowrie-env source cowrie-env/bin/activate pip install -r requirements.txt # 設定ファイルをコピーして編集 cp etc/cowrie.cfg.dist etc/cowrie.cfg # ハニーポットを起動 bin/cowrie start
起動後、var/log/cowrie/cowrie.json にJSON形式でアクセスログが記録されます。攻撃者が試みたコマンドまでわかるため、非常に詳細な情報収集が可能です。
2. OpenCanary(マルチプロトコル対応)
OpenCanaryはCanarytools社が開発したOSSのハニーポットフレームワークです。SSH・HTTP・FTP・SMB・Telnet・MySQL・Redis・VNCなど多数のプロトコルのおとりサービスを一括管理できます。
# pipでインストール pip install opencanary # 設定ファイルを生成 opencanaryd --copyconfig # 起動 opencanaryd --start
設定ファイル(opencanary.conf)でどのサービスを模倣するかを指定できます。SIEMへの転送もsyslog経由で簡単に設定できます。
3. Canary Tokens(ハニーファイル)
物理的なサーバーを用意しなくても、ハニーファイルを使う方法があります。アクセスすると管理者に通知が届くおとりファイル(URLトークン)を社内の共有フォルダやNASに置いておく手法です。
Canarytokens.orgが提供する無料サービスでは、PDF・Excelファイル・URLなど様々な形式のトークンを生成できます。ファイルを開いた際のIPアドレスや場所も記録されます。
中小企業でも今日からできること
「ハニーポットは大企業のものでは?」と思う方もいるかもしれません。しかし、低インタラクション型のハニーポットであれば、余った検証機でも稼働します。
以下は情シス1人体制でも実践できる3ステップのアプローチです。
1. 社内LANにOpenCanaryを設置する
社内LANの空きIPにOpenCanaryを設置し、22番(SSH)と80番(HTTP)のおとりを動かしておきます。社内の正規ユーザーがそこにアクセスする理由は通常ありませんので、アクセスがあった時点でアラートを上げる仕組みを作れます。
2. メール通知と連携して即時アラートを受け取る
OpenCanaryはアクセス検知時にメール通知が設定できます。SIEMがない場合でも、管理者のメールアドレスに即時通知を送るだけで早期警戒システムとして機能します。
3. 共有フォルダにハニーファイルを置く
ファイルサーバーや共有フォルダに「passwords.xlsx」「backup_2026.zip」など、攻撃者が興味を示しそうな名前のハニーファイルを置いておきます。正規ユーザーが触ることのないファイルなので、アクセスがあれば即座に不審活動と判断できます。これは内部不正の抑止にも効果があります。
ハニーポット運用時のよくある誤解と注意点
【注意1】ハニーポットは防御ではなく検知の仕組み
ハニーポットは攻撃を「防ぐ」ものではありません。攻撃者がすでに社内ネットワークに侵入していた場合に早期発見するための「センサー」です。ファイアウォールやEDRと組み合わせて、多層防御の一部として位置づけることが重要です。
【注意2】高インタラクション型は管理コストが高い
実際のOSやサービスを動かす高インタラクション型は、攻撃者に乗っ取られて踏み台にされるリスクがあります。適切に隔離されたネットワークセグメントに置き、本番環境から完全に切り離す設計が必須です。中小企業が最初に導入するなら、低~中インタラクション型から始めることを推奨します。
【注意3】ハニーポットを置いても攻撃が増えるわけではない
「ハニーポットを置くと攻撃が増えるのでは?」と心配される方もいます。しかし、インターネットに公開されているIPアドレスは日常的にスキャンされており、ハニーポットの有無にかかわらず攻撃者の探索活動は続いています。ハニーポットはその事実を「見えるようにする」だけです。
【注意4】法律面の確認
国内では、自社のネットワーク内に設置するハニーポットは一般的に問題ありません。ただし、攻撃者を誘導する目的で外部に対して積極的な働きかけをする行為は、不正アクセス禁止法や電気通信事業法に抵触する可能性があります。詳細は法律の専門家にご確認ください。
本記事のまとめ
ハニーポットを使えば、攻撃者の手口を受動的に受け入れるだけでなく、能動的に観察・記録することができます。
| 種類 | 特徴 | 中小企業向け度 |
|---|---|---|
| 低インタラクション型 | 設置・運用が簡単。ポート応答のみ | ◎ まず試すならここから |
| 中インタラクション型(OpenCanary・Cowrie) | SSH/HTTP等の偽サービス。詳細ログ取得が可能 | ○ 検証機があれば導入可 |
| 高インタラクション型 | 実OSを使用。豊富な情報収集が可能だが管理コスト大 | △ 隔離環境が整備できる場合のみ |
| ハニーファイル(Canary Tokens) | おとりファイルでアクセスを検知。非常に手軽 | ◎ 今日から始められる |
まずは社内LANへのOpenCanary設置と共有フォルダへのハニーファイル配置から始めてみてください。特別な予算がなくても、内部不正や不審な横断移動を早期に察知できる環境を構築できます。
Linuxサーバーの権限管理や監視の基礎については、姉妹サイトLinuxMaster.JPでも詳しく解説しています。ハニーポットと組み合わせることで、より堅牢なサーバー防御が実現できます。
攻撃者の手口を知って、先手を打つ防御を始めませんか?
ハニーポットのような能動的な観察手法を含む、実践的なセキュリティ対策を体系的に学べます。
正しいセキュリティ知識を体系的に身につけたい方へ、メルマガで実践的なセキュリティ対策ノウハウをお届けしています。
