このサイトについて

このブログで扱うテーマ

自身の学習を兼ねてHoneypot運営をやっていきたいと思います。記事の内容はその時思ったこと等をメインに書いていきます。

主に以下のテーマを扱っています。

• ハニーポット観測記録: VPSで運用しているT-Potで収集したログの分析記録
• セキュリティ分析の学習記録: MITRE ATT&CK / Cyber Kill Chain / Diamond Model を使った観測ログの読み解き
• マルウェア表層解析・静的解析の学習: 拾えたサンプルを題材にした学習過程
• インフラエンジニアの雑記: セキュリティニュースを読んで考えたこと、その他日常

セキュリティ研究および防御目的の情報共有を意図しており、攻撃手法の助長は目的としていません。観測記録ではIoCを適切に加工し、第三者への攻撃支援につながる情報は掲載しないよう努めています。

情報の正確性と倫理感を重視しておりますが、万が一、懸念や誤情報などございましたらページ下部の連絡先まで一報いただけますと幸いです。

運営者プロフィール

ざっと自己紹介を。

• ハンドルネーム: 乳酸菌
• 性別: 男性
• 年齢: 30後半
• 職業: インフラエンジニア歴7年目。大手SIerさんからお仕事のタネをいただいています。会社員です。
• 前職: コックさん。まだコックさん歴のほうが長い。

関心領域

業務とは別に、個人的に学習・発信している領域です。

• ハニーポット運用とログ分析（T-Pot / Cowrie / Dionaea / Suricata 等）
• ログ基盤の構築・チューニング（ELK Stack / Logstash / Elasticsearch）
• セキュリティ分析フレームワーク（MITRE ATT&CK / Cyber Kill Chain / Diamond Model）
• マルウェア表層解析・静的解析

環境

もろもろの事情(お金)により、複雑な構成になってますがこんな感じです。

• VPS (WebARENA Indigo)

  • T-POT　公式Service Builder(compose/customizer.py)で生成した「CUSTOM EDITION」

• 解析基盤 (Docker)

  • ELK Stack T-Potとは別建て

• ブログ Cloudflare PagesとGithub

  • Hugo

• AI (Claude code)

T-Potで動いているDocker達は↓こんな感じです。(2026/05/28現在)

adbhoney / conpot_guardian_ast / conpot_iec104 / conpot_kamstrup_382 / cowrie
ddospot / dionaea / endlessh / go-pot / honeypots / honeytrap / miniprint / sentrypeer / wordpot
nginx / p0f / suricata / ewsposter / tpotinit

構成にあたって

重視したポイントは維持費用と学習用途です。T-Potはデフォルト通りやればELK Stackがもれなくついてきます。でも重いんですよね。。。

ちょうどローカルPCのリソースが余ってたのでELKはローカルで動かして、ログだけSCPで手動取得みたいな形にしています。平気で1週間PC起動しない等あるのでリアルタイム性は捨てました。

デフォルト or ELK Stack抜き で比較したとき、WebARENA Indigoだと、月/1800円ぐらい変わります。(あんま変わんないかも…)

ClaudeにはELKとhugoを頑張ってもらいました。ただ、ちゃんと理解しておかないとなぁと思う今日この頃です。

2026/05/28時点でもClaude Pro契約してます。。。もう戻れないかも。。。

まとめると維持費用は

1. VPS： ￥1,630
2. Domain: 無料？(お名前.com)
3. Claude code Pro: だいたい￥3,000(任意)

家計に優しい金額となれました。(サーバサービス解約したので、ドメイン代がどうなるか不安。。。)

Claude code Proが高い。財布に優しくはない。。稼ぐしかない。。

構築までのTips

VPS

ISPのFW機能+とにかく安い料金で選びました。T-PotのReadmeにもある通り、インバウンド方向の64000-のポートはブロックする必要があるためISPのFWで制限しています。

To avoid probing for T-Pot’s management ports you should put T-Pot behind a firewall and forward all TCP / UDP traffic in the port range of 1-64000 to T-Pot while allowing access to ports > 64000 only from trusted IPs and / or only expose the ports relevant to your use-case.

（要約: T-Potの管理ポートを守るため、1〜64000番ポートへの通信はFWで転送しつつ、64000番以上は信頼済みIPからのみ許可すること）

当初はアウトバウンド全開放にしていましたが、Gemini先生曰く、「お前のサーバが踏み台にされるとか思わないわけ？」とご指摘いただいたのでかなり絞っています。以下Gemini先生のお言葉。

法的観点から見れば、ハニーポットの運用者は、システムに意図的な脆弱性を持たせているという性質上、一般的なサーバ管理者よりも高いレベルの注意義務を負うと解釈される可能性がある。アウトバウンド通信を全く制限せず、攻撃者が自由に外部へ攻撃できる状態を放置していた場合、それは「損害の発生を予見でき、かつ回避できた」にもかかわらず対策を怠ったとみなされ、被害者からの損害賠償請求が認められるリスクが極めて高い。

一部、マルウェアDLとかに必要そうではあるのですが、様子見つつ検討かなと思っています。

For some honeypots to reach full functionality (i.e. Cowrie or Log4Pot) outgoing connections are necessary as well, in order for them to download the attacker’s malware. Please see the individual honeypot’s documentation to learn more by following the links to their repositories.

（要約: CowrieやLog4Potは攻撃者のマルウェアをDLするためアウトバウンド通信が必要なものもあるので、各ハニーポットのドキュメントを参照のこと）

なお、プレでデフォルト構成にて立ち上げた際はメモリ使用率が100％に張り付いていました。sshするまでにめっちゃ時間かかった。

ELK

ほとんどClaudeにお任せです。Claudeの設計をしていなかったため、Logstash取り込みでめちゃめちゃミスってました。反省。

ドメインとかサイトとか

検証で使ったドメインをたまたま持ってたため、流用しました。特に困ることなく終了。

当初はWordpressでやるかーと思っていましたが、静的ページなるモノがあることを知り、プラン変更しました。

サーバ代がかからない + 維持費用が発生しないのはデカい。

その他

• 料理が好きです。
• 三国志も好きです。
• 何よりも家族優先です。

連絡先

ご質問やご連絡は X（旧Twitter）のDMで承っています → @good_bacteriaaa