このサイトについて

自己紹介

自身の学習を兼ねてHoneypot運営をやっていきたいと思います。記事の内容はその時思ったこと等をメインに書いていきます。

ざっと自己紹介を。

• 性別: 男性
• 年齢: 30後半（になってしまった。。。）
• 職業: インフラエンジニア歴7年目。大手SIerさんからお仕事のタネをいただいています。会社員です。
• 前職: コックさん。まだコックさん歴のほうが長い。

環境

もろもろの事情(お金)により、複雑な構成になってますがこんな感じです。

• VPS (WebARENA Indigo)

  • T-POT　公式Service Builder(compose/customizer.py)で生成した「CUSTOM EDITION」

• 解析基盤 (Docker)

  • ELK Stack T-Potとは別建て

• ブログ Cloudflare PagesとGithub

  • Hugo

• AI (Claude code)

T-Potで動いているDocker達は↓こんな感じです。近日増減予定あり (2026/03/19現在)

adbhoney / ciscoasa / conpot_guardian_ast / conpot_iec104 / conpot_ipmi / conpot_kamstrup_382
cowrie / dicompot / dionaea / elasticpot / go-pot / honeypots / medpot / miniprint / sentrypeer / wordpot
nginx / p0f / suricata / ewsposter / tpotinit

構成にあたって

身も蓋もないですが、重視したポイントはなにより維持費用です。T-Potはデフォルト通りやればELK Stackがもれなくついてきます。でも重いんですよね。。。

ちょうどローカルPCのリソースが余ってたのでELKはローカルで動かして、ログだけSCPで手動取得みたいな形にしています。平気で1週間PC起動しない等あるのでリアルタイム性は捨てました。

デフォルト or ELK Stack抜き で比較したとき、WebARENA Indigoだと、月/1800円ぐらい変わります。(あんま変わんないかも…)

ClaudeにはELKとhugoを頑張ってもらいました。ただ、ちゃんと理解しておかないとなぁと思う今日この頃です。毎月3000円も払えないよーー

まとめると維持費用は

1. VPS： ￥1,630
2. Domain: 無料？(お名前.com)

初期費用で

1. Claude code Pro: だいたい￥3,000

家計に優しい金額となれました。(サーバサービス解約したので、ドメイン代がどうなるか不安。。。)

構築までのTips

VPS

ISPのFW機能+とにかく安い料金で選びました。T-PotのReadmeにもある通り、インバウンド方向の64000-のポートはブロックする必要があるためISPのFWで制限しています。

To avoid probing for T-Pot’s management ports you should put T-Pot behind a firewall and forward all TCP / UDP traffic in the port range of 1-64000 to T-Pot while allowing access to ports > 64000 only from trusted IPs and / or only expose the ports relevant to your use-case.

（要約: T-Potの管理ポートを守るため、1〜64000番ポートへの通信はFWで転送しつつ、64000番以上は信頼済みIPからのみ許可すること）

当初はアウトバウンド全開放にしていましたが、Gemini先生曰く、「お前のサーバが踏み台にされるとか思わないわけ？」とご指摘いただいたのでかなり絞っています。以下Gemini先生のお言葉。

法的観点から見れば、ハニーポットの運用者は、システムに意図的な脆弱性を持たせているという性質上、一般的なサーバ管理者よりも高いレベルの注意義務を負うと解釈される可能性がある。アウトバウンド通信を全く制限せず、攻撃者が自由に外部へ攻撃できる状態を放置していた場合、それは「損害の発生を予見でき、かつ回避できた」にもかかわらず対策を怠ったとみなされ、被害者からの損害賠償請求が認められるリスクが極めて高い。

一部、マルウェアDLとかに必要そうではあるのですが、様子見つつ検討かなと思っています。

For some honeypots to reach full functionality (i.e. Cowrie or Log4Pot) outgoing connections are necessary as well, in order for them to download the attacker’s malware. Please see the individual honeypot’s documentation to learn more by following the links to their repositories.

（要約: CowrieやLog4Potは攻撃者のマルウェアをDLするためアウトバウンド通信が必要なものもあるので、各ハニーポットのドキュメントを参照のこと）

なお、プレでデフォルト構成にて立ち上げた際はメモリ使用率が100％に張り付いていました。sshするまでにめっちゃ時間かかった。

ELK

ほとんどClaudeにお任せです。Claudeの設計をしていなかったため、Logstash取り込みでめちゃめちゃミスってました。反省。

ドメインとかサイトとか

検証で使ったドメインをたまたま持ってたため、流用しました。特に困ることなく終了。

当初はWordpressでやるかーと思っていましたが、静的ページなるモノがあることを知り、プラン変更しました。

サーバ代がかからない + 維持費用が発生しないのはデカい。

連絡先

ご質問やご連絡は X（旧Twitter）のDMで承っています → @good_bacteriaaa