ハニーポットを設置すれば、攻撃者は本物のシステムに近づかなくなると思っていませんか?実はハニーポットを設置したそのサーバー自体が、他のシステムへの侵入口=踏み台になるリスクがあります。
ハニーポットとは、サイバー攻撃者をわざと引き寄せるために設置する「おとり」のシステムやサーバーのことです。「ハチミツの壺(Honey Pot)」という名前の通り、甘い罠として攻撃者を誘い込み、その行動・手口・使用ツールを観察・記録することを主な目的とします。
本物のシステムと同じように見えるアプリケーションやデータを備え、意図的に脆弱なパスワードやオープンポートを設けることで攻撃者を引き寄せます。攻撃者がハニーポットに侵入している間、実際の重要サーバーには触れさせずに済む点が大きな特徴です。
つまり「見せかけの的」を用意する仕組みです。
ハニーポットが収集できる情報は多岐にわたります。攻撃者がどこの国・IPアドレスから攻撃しているか、どのような侵入ツールを使っているか、どのデータやサービスに興味を持っているか、といった脅威インテリジェンスを実際の攻撃を通じてリアルタイムに把握できます。これはファイアウォールや侵入検知システム(IDS)では得にくい情報です。
注目すべきは誤検知率の低さです。ハニーポットに向かうトラフィックは、正規のユーザーが誤って送ることはほぼあり得ません。そのため「ハニーポットに来たアクセス=ほぼ100%が攻撃または偵察行為」として扱えます。これはIDSのように大量の誤検知に悩まされず、精度の高いアラートを得られることを意味します。
誤検知が少ない点は実務上かなり大きな強みです。
また、ハニーポットは内部の不正リスク管理にも活用できます。社内ネットワーク内に設置することで、従業員による不正アクセスや情報持ち出しの早期検知にも役立ちます。外部の攻撃者だけでなく、内部の脅威にも対応できる点はあまり知られていません。
セキュリティの基礎として、ハニーポットの仕組みを解説しているカスペルスキーの参考ページです。ハニーポットの種類から実践的な活用法まで詳しく記載されています。
ハニーポットとは:仕組みとメリット・デメリット – Kaspersky
ハニーポットには大きく3種類あり、目的や運用コストに応じて使い分ける必要があります。これが原則です。
低対話型ハニーポット(Low-Interaction Honeypot)は、実際のOSやアプリケーションを使わず、それらを「模倣」したシステムです。設定や運用が簡単で、サーバーへの負荷も少ないのが特徴です。攻撃者がどんな手口で侵入を試みるかの「初動」を観察するのに向いており、大量の攻撃パターンを収集するのに適しています。ただし攻撃者が実際にシステム内で行える操作が限られるため、得られる情報は浅めです。
高対話型ハニーポット(High-Interaction Honeypot)は、本物のOSやアプリケーションを使った環境を提供します。攻撃者が侵入後にどのようなコマンドを実行するか、どのファイルを狙うか、どのバックドアを仕掛けるかといった詳細な行動が観察できます。より深い分析が可能な分、構築・監視に専門知識が必要で、運用コストも高くなります。
高対話型は情報が深い分、リスクも高いです。
仮想型ハニーポット(Virtual Honeypot)は、仮想マシン(VM)上で動作するタイプです。攻撃を受ける前の状態にスナップショットで戻せる点や、侵害された状況を詳細に記録しておける点が強みです。VMwareやXenといった仮想化プラットフォーム上で動かせるため、物理サーバーを別途用意しなくても始められます。ただし構築には仮想化の専門知識が必要です。
どの種類を選ぶかは、「何を知りたいか」によって決まります。初期の攻撃パターンを広く集めたいなら低対話型、攻撃者の侵入後の詳細行動を掘り下げたいなら高対話型や仮想型が有効です。なお、現在はオープンソースのハニーポット統合プラットフォーム「T-Pot」が無料で公開されており、複数のハニーポットを一括管理・可視化できる環境が比較的手軽に構築できるようになっています。
以下はハニーポット種類の比較表です。
| 種類 | 特徴 | 得られる情報 | 運用難易度 |
|---|---|---|---|
| 低対話型 | OSを模倣したシステム | 初期スキャン・侵入試行の傾向 | ⭐(易しい) |
| 高対話型 | 本物のOS・アプリを使用 | 侵入後の詳細行動・マルウェア挙動 | ⭐⭐⭐(難しい) |
| 仮想型 | 仮想マシン上で動作 | 侵害前後の状況記録・復元が容易 | ⭐⭐(中程度) |
ハニーポットの実験データは、想像をはるかに超える攻撃頻度を示しています。意外ですね。
比較サイトComparitech.comが2021年に公表した調査では、インターネットに公開したハニーポット1台に対し、24時間で10万1,545件の攻撃が観測されました。1分あたり約70件の計算です。これは2007年にメリーランド大学が実施した同様の調査(1日2,244件)と比べると、約45倍に増加しています。
さらに衝撃的なのはPalo Alto Networksのunit42が2021年に実施した調査です。グローバルに320台のハニーポットを設置したところ、全体の80%が24時間以内に侵害され、100%が1週間以内に侵害されたという結果が出ました。設置してから最初に侵害されるまでの平均時間は、SSH(セキュアシェル)の場合わずか184分(約3時間)でした。
公開して3時間で侵害されるのが現実です。
また、この調査では特定の1人の攻撃者が、単独で30秒以内にグローバル80台あるPostgresハニーポットの96%を侵害したという驚愕の事例も記録されています。自動化されたボットによる攻撃がいかに高速かを物語る数字です。
攻撃者のIPアドレスに注目すると、観測された攻撃元IPの85%はその日1日しか観測されないという事実があります。これは「悪意のあるIPアドレスのブラックリスト」を使ったIPベースのファイアウォールが、翌日にはほぼ無意味になることを示しています。IPブロックだけに頼る防御は危険です。
攻撃の内訳では、最も多いのがSSHブルートフォース攻撃(総当たり攻撃)で、「admin:admin」「guest:guest」「admin:password」といった単純な認証情報が標的になります。次いでTCP/UDP攻撃、クレデンシャル窃取型マルウェア、RDPハイジャックと続きます。
国内においても、NICTの調査では2024年は平均13秒に1回の攻撃を観測していたとされており、インターネットに接続されたシステムへの攻撃は止む気配がありません。
Palo Alto Networksによるハニーポット実験の詳細な数値データです。公開後すぐに侵害されるリスクを具体的な数字で確認できます。
パブリッククラウドのハニーポット観測結果 – Palo Alto Networks Unit 42
ハニーポットには有益な側面がある一方で、見落とすと深刻なリスクになるデメリットが複数あります。特に「設置すれば安心」という認識は危険です。
最も重大なリスクは踏み台リスクです。ハニーポットに侵入した攻撃者がそのシステムを足がかりにして、同一ネットワーク上の本番システムや他のサーバーへ横移動(ラテラルムーブメント)を始める可能性があります。ハニーポットを適切に隔離していない場合、攻撃者を招き入れることで逆に社内ネットワーク全体が危険にさらされます。
隔離が不十分なハニーポットは招いた泥棒になりかねません。
カスペルスキーはこの問題に対して「ハニーウォール(Honeywall)」と呼ばれる仕組みの必要性を指摘しています。ハニーウォールとは、ハニーポットへの通信とそれ以外のネットワークを分離するための仕組みで、侵入された攻撃者が本番システムに到達できないよう制御する役割を担います。ハニーポットを設置する際には必ずセットで検討すべき概念です。
ログ分析の専門性も課題です。ハニーポットは設置しただけでは価値を生みません。記録された膨大なログから有意な攻撃情報を抽出・分析するためには、セキュリティの専門知識と経験が求められます。特に高対話型ハニーポットの場合、マルウェアの動作ログや攻撃者の行動シーケンスを解析するには専門的なスキルが必要です。
さらに、ハニーポットは「自分に向けられた攻撃」しか観測できません。つまりハニーポットを避けてゼロデイ攻撃を仕掛けるような洗練された攻撃者には気づけない可能性があります。ハニーポットだけでセキュリティ全体をカバーできるわけではなく、ファイアウォール・IDS・EDRなど他のセキュリティ製品と組み合わせて運用することが前提です。
ハニーポットは補完的なツールです。
高対話型ハニーポットの場合、攻撃者が本物のOSを操作している間にゼロデイ脆弱性を悪用して、ハニーウォールを突破するリスクもゼロではありません。導入前にペネトレーションテスト(擬似攻撃によるセキュリティ評価)を実施し、環境のリスクを事前に洗い出しておくことが推奨されます。
ハニーポットのメリット・デメリットと導入時のポイントを実務視点でまとめたLANSCOPEの解説記事です。踏み台リスクへの対策についても触れられています。
ハニーポットとは?用途やメリット・デメリットを解説 – LANSCOPE
陶芸では、焼き上がりの品質は「窯の状態」と「使い方の積み重ね」に大きく左右されます。ハニーポットも実はそれと同じで、「設置した後にどう育てるか」が防御効果を左右します。これが多くの解説記事で見落とされている視点です。
攻撃者は賢く、ハニーポットを「見抜く」技術を持っています。本物のシステムとの差異をフィンガープリント(特徴検出)によって見破った攻撃者は、ハニーポットに手を出さず本番システムを狙い直したり、ハニーポットに偽の情報を流して分析担当者を混乱させたりすることがあります。これが「育てていないハニーポット」の落とし穴です。
ハニーポットを常に本物らしく見せ続ける工夫が必要です。
具体的には、次のような継続的な「手入れ」が求められます。
Palo Alto Networks の調査でも、スキャナIPのブラックリストによるファイアウォールを設けたグループと設けなかったグループで、攻撃件数に有意な差が出なかったという結果があります。これは「静的な防御を設定したら終わり」という発想が通用しないことを示しています。動的に更新し続けることが唯一有効な対応策です。
定点観測のデータを蓄積するほど、防御精度は上がります。
また、ハニーポットで得た脅威情報をSIEM(セキュリティ情報・イベント管理)ツールと連携させることで、組織全体のセキュリティ監視に活かす運用が近年広まっています。個別の観測データをSIEMに取り込み、本番ネットワークのログと照合することで、未知の攻撃パターンへの気づきを得やすくなります。
ハニーポットをSIEM連携や継続的な脅威インテリジェンスとして活用する実践例については、以下のNECのブログ記事が参考になります。
インターネット定点観測環境について – NECセキュリティブログ
