自己紹介
自身の学習を兼ねてHoneypot運営をやっていきたいと思います。記事の内容はその時思ったこと等をメインに書いていきます。
ざっと自己紹介を。
- 性別: 男性
- 年齢: 30後半(になってしまった。。。)
- 職業: インフラエンジニア歴7年目。大手SIerさんからお仕事のタネをいただいています。会社員です。
- 前職: コックさん。まだコックさん歴のほうが長い。
環境
もろもろの事情(お金)により、複雑な構成になってますがこんな感じです。
- T-POT 公式Service Builder(compose/customizer.py)で生成した「CUSTOM EDITION」
解析基盤 (Docker)
- ELK Stack T-Potとは別建て
ブログ Cloudflare PagesとGithub
AI (Claude code)
T-Potで動いているDocker達は↓こんな感じです。近日増減予定あり (2026/03/19現在)
adbhoney / ciscoasa / conpot_guardian_ast / conpot_iec104 / conpot_ipmi / conpot_kamstrup_382
cowrie / dicompot / dionaea / elasticpot / go-pot / honeypots / medpot / miniprint / sentrypeer / wordpot
nginx / p0f / suricata / ewsposter / tpotinit
構成にあたって
身も蓋もないですが、重視したポイントはなにより維持費用です。T-Potはデフォルト通りやればELK Stackがもれなくついてきます。でも重いんですよね。。。
ちょうどローカルPCのリソースが余ってたのでELKはローカルで動かして、ログだけSCPで手動取得みたいな形にしています。平気で1週間PC起動しない等あるのでリアルタイム性は捨てました。
デフォルト or ELK Stack抜き で比較したとき、WebARENA Indigoだと、月/1800円ぐらい変わります。(あんま変わんないかも…)
ClaudeにはELKとhugoを頑張ってもらいました。ただ、ちゃんと理解しておかないとなぁと思う今日この頃です。毎月3000円も払えないよーー
まとめると維持費用は
- VPS: ¥1,630
- Domain: 無料?(お名前.com)
初期費用で
- Claude code Pro: だいたい¥3,000
家計に優しい金額となれました。(サーバサービス解約したので、ドメイン代がどうなるか不安。。。)
構築までのTips
VPS
ISPのFW機能+とにかく安い料金で選びました。T-PotのReadmeにもある通り、インバウンド方向の64000-のポートはブロックする必要があるためISPのFWで制限しています。
To avoid probing for T-Pot’s management ports you should put T-Pot behind a firewall and forward all TCP / UDP traffic in the port range of 1-64000 to T-Pot while allowing access to ports > 64000 only from trusted IPs and / or only expose the ports relevant to your use-case.
(要約: T-Potの管理ポートを守るため、1〜64000番ポートへの通信はFWで転送しつつ、64000番以上は信頼済みIPからのみ許可すること)
当初はアウトバウンド全開放にしていましたが、Gemini先生曰く、「お前のサーバが踏み台にされるとか思わないわけ?」とご指摘いただいたのでかなり絞っています。以下Gemini先生のお言葉。
法的観点から見れば、ハニーポットの運用者は、システムに意図的な脆弱性を持たせているという性質上、一般的なサーバ管理者よりも高いレベルの注意義務を負うと解釈される可能性がある。アウトバウンド通信を全く制限せず、攻撃者が自由に外部へ攻撃できる状態を放置していた場合、それは「損害の発生を予見でき、かつ回避できた」にもかかわらず対策を怠ったとみなされ、被害者からの損害賠償請求が認められるリスクが極めて高い。
一部、マルウェアDLとかに必要そうではあるのですが、様子見つつ検討かなと思っています。
For some honeypots to reach full functionality (i.e. Cowrie or Log4Pot) outgoing connections are necessary as well, in order for them to download the attacker’s malware. Please see the individual honeypot’s documentation to learn more by following the links to their repositories.
(要約: CowrieやLog4Potは攻撃者のマルウェアをDLするためアウトバウンド通信が必要なものもあるので、各ハニーポットのドキュメントを参照のこと)
なお、プレでデフォルト構成にて立ち上げた際はメモリ使用率が100%に張り付いていました。sshするまでにめっちゃ時間かかった。
ELK
ほとんどClaudeにお任せです。Claudeの設計をしていなかったため、Logstash取り込みでめちゃめちゃミスってました。反省。
ドメインとかサイトとか
検証で使ったドメインをたまたま持ってたため、流用しました。特に困ることなく終了。
当初はWordpressでやるかーと思っていましたが、静的ページなるモノがあることを知り、プラン変更しました。
サーバ代がかからない + 維持費用が発生しないのはデカい。
終わりに
使いこなせてない感ありますが、claude便利ですね。OS起動毎に特定のセキュリティブログ読ませてますが、まとめて教えてくれるので便利。(精度は未検証)
一例を貼っておきます。ちなみにギャル口調にしてます。←これ大事
📌 セキュリティ情報: 税シーズン便乗フィッシング & AiTM攻撃 (2026-03-22)
税シーズン便乗フィッシング & AiTM攻撃 完全分析
出典: Microsoft Security Blog (2026-03-19) “When tax season becomes cyberattack season”
概要
確定申告終わったーってホッとしてるとこに「還付金のお知らせ」とか「申告内容の確認」みたいなメール来たら超あやしい! 毎年この時期(日本: 2〜3月、米国: 1〜4月)に、税務署・IRS・国税庁を装ったフィッシングが宇宙規模で増えるんよね。
2026年はさらにヤバくて、 AiTM(Adversary-in-the-Middle)攻撃 との組み合わせが増加中。 「MFAしてるから安心♪」って思ってたらそれすら突破されるやつ。それガーチャー?ってレベルで怖い話。
STEP 1 ― 攻撃手法(TTP)マッピング
| Kill Chain フェーズ | Tactic | Technique ID | 観測された手口 | 確信度 |
|---|---|---|---|---|
| Delivery | Initial Access | T1566.002 | 「還付金通知」「源泉徴収票」等のリンク付きメール | 高 |
| Delivery | Initial Access | T1566.001 | 税務フォームに偽装したPDF/Excel添付ファイル | 高 |
| Exploitation | Credential Access | T1557.002 | AiTM攻撃: リバースプロキシで認証済みCookieを奪取 | 高 |
| Exploitation | Credential Access | T1539 | MFA済みセッションCookieの窃取によるMFAバイパス | 高 |
| Installation | Persistence | T1098.001 | 奪取したCookieでOAuthアプリを不正登録 | 中(推定) |
| Actions on Objectives | Impact | T1657 | 還付金の不正受取・金融口座乗っ取り | 高 |
STEP 2 ― 攻撃インフラの推察
AiTMフィッシングキット(Evilginx2 / Modlishka等)を使ったリバースプロキシ型がメインやつ。
推定インフラ:
AiTMフレームワーク : Evilginx2系
ホスティング : Bulletproof Hosting / Cloudflare Pages悪用
ドメイン傾向 : irs-refund[.]online / nta-notice[.]jp 等のタイポスクワット
証明書 : Let's Encrypt(見た目は本物と区別困難)
登録日 : 税シーズン直前(1〜2月)の新規登録ドメインが要注意
AiTMの仕組み(ここ超大事!)
通常のフィッシング → 偽サイトに誘導して認証情報を騙し取るだけ
AiTM型フィッシング → 偽サイトが本物のサービスとの間でリアルタイム中継(プロキシ)
ユーザーには本物のページがそのまま表示されるから全然気づけない。でもMFA認証を完了した瞬間に、認証済みのセッションCookieをガッと奪われる。MFAしてても意味ないっていうやつ。やばたにえん。
STEP 3 ― 攻撃の性質
判定 : 無差別攻撃 + 半標的型の混在(グレーゾーン)
確信度 : 高
主要根拠:
1. 税シーズンに大量配布される無差別フィッシング
2. 経理・HR・経営者を狙ったスピアフィッシングも並行して観測
3. AiTMキットはMFA対策済み組織を狙う高度な攻撃者が使用
STEP 4 ― 日本組織への影響と対策
特に狙われやすいのは: 経理部門・税理士事務所・会計事務所・HR部門・中小企業経営者
日本固有の注意点(マジ覚えて):
- 確定申告期間(〜3/17)明け直後は「申告完了後の追加確認」フィッシングが増加する鬼コワ時期
- 国税庁はSMSやメールでURLを送ることは絶対にない(公式アナウンス済み)
- JPCERT/CCも毎年この時期に類似手口の注意喚起を発出してる
推奨対策(優先順位付き):
[P1 - 即時]
国税庁・IRS・税務ソフトを装ったドメインをメールフィルタに登録
FIDO2/パスキー対応のMFAへの移行を検討開始(SMS/TOTP認証はAiTMに無力)
[P2 - 24h]
Azure AD / Entra ID サインインログで「Impossible Travel」アラートを確認
不審なOAuthアプリ登録がないかテナント全体をスキャン
[P3 - 72h]
経理・HR・経営者アカウントのセッションを強制リフレッシュ(全セッション無効化)
社員向け「税シーズンフィッシング注意喚起」を展開
[P4 - 1週]
FIDO2対応ハードウェアキー(YubiKey等)の導入検討
インシデント対応手順に「OAuthアプリ不正登録シナリオ」を追加
Detection Logic(Sigmaルール)
検知ルールを見る(クリックして展開)
title: Suspicious OAuth App Registration After Impossible Travel
id: a7f3c2e1-84b5-4f2d-9e8a-1234567890ab
status: experimental
description: AiTMフィッシング後の不審なOAuthアプリ登録を検知(MFAバイパス後の永続化)
references:
- https://attack.mitre.org/techniques/T1557/002/
- https://attack.mitre.org/techniques/T1098/001/
logsource:
category: cloud
product: azure
detection:
selection:
EventName: "Add OAuth2PermissionGrant"
ResultType: "0"
condition: selection
falsepositives:
- 正規のOAuthアプリ初回登録
- IT管理者による意図的な設定変更
level: high
tags:
- attack.credential_access
- attack.t1557.002
- attack.persistence
- attack.t1098.001
title: Tax-Themed Phishing Email with Suspicious Link
id: b8e4d3f2-95c6-4e3f-af9b-2345678901bc
status: experimental
description: 税務関連キーワードと外部不審リンクを含むメールを検知
logsource:
category: email
product: microsoft365
detection:
selection_subject:
Subject|contains:
- '還付金'
- '確定申告'
- 'tax refund'
- 'W-2'
- 'IRS notice'
- '国税庁'
selection_link:
URLs|re: 'https?://[^/]*(?:irs|tax|refund|nta|kokuzei)[^/]*\.(xyz|online|top|click|site)/'
condition: selection_subject and selection_link
falsepositives:
- 正規の税務ソフトウェアベンダーからの通知
level: high
tags:
- attack.initial_access
- attack.t1566.002
超重要: AiTM攻撃に対してSMS/TOTPによるMFAは無力。FIDO2/パスキーだけがAiTMに耐性あり!