Webarena

本記事について 本記事はセキュリティ研究および防御目的の情報共有を意図したものです。 観測されたIoC（IPアドレス・ドメイン）はディフェンス目的での記述であり、 攻撃手法の助長を目的とするものではありません。 記載内容の利用はご自身の責任でお願いします。 観測の発端 Honeypot VPS は WebARENA Indigo を使っています。理由はシンプルに二点。 安い。 備え付けFWがよさげ。 それ以上でも以下でもないのですが、ある日、興味をそそられる試行を見かけました。 SSH ハニーポット（Cowrie）に対する試行で username: arena 明らかにサーバインフラの背景を考慮して試行しているので、面白いなぁと思い記事化します。 あと、いつもは 分析:私 + claude code 執筆:Claude code レビュー/修正:Claude code でやってますが、たまには生身の人間がメインで書いてみます。タイポしまくるのでレビューはしてもらうけど。 観測サマリ 項目 値 観測期間 2026-05-06 〜 2026-06-04（23日間） 観測ハニーポット Cowrie (T-Pot VPS) 対象イベント cowrie.login.failed 主要観測対象 username.keyword: "arena" への試行 全期間 arena 試行数 697 件 ISP数 10 ユニーク source_ip 117 IPs 全体の傾向 1か月ぐらいの目線で見ると、ピーク→徐々に縮小の傾向が見られました。 当方は「SSHブルートフォースはだいたい単純に辞書を参照してひたすら回す。」みたいな認識でして、流行り廃りがあるとは思っていませんでした。 2026-05-06以前はカウント無かったため、この辺りで辞書に載った or ASN辺りからインフラ把握して辞書に組み込むナニカ が公開されたんだろうなと妄想しています。 ASN/ISPを見てみる まずASNのorganizationを見てみました。(ASNはGeo IPから引っ張ってきてます。) ...

ハニーポットを個人で運用する、というと「一部のマニアの趣味」に聞こえるかもしれません。実際そうです。 ただ、やってみると学べることがかなり多くて、個人的にはコスパの良い学習環境だと思っています。この記事では、T-Pot をVPSで運用するにあたっての構成・維持費・つまずいたポイントを、実際に運用している立場からまとめます。 「これからハニーポットを立ててみたい」という人の、つまずき回避の参考になればうれしいです。 そもそもT-Potとは T-Pot は、Deutsche Telekom Security が公開しているハニーポットのオールインワン環境です。 ハニーポットというのは、ざっくり言うとわざと攻撃させるためのおとりサーバのこと。攻撃者がやってくるのを待ち構えて、何をしてくるかを観察・記録します。 T-Pot のいいところは、数十種類のハニーポットを Docker でまとめて立ち上げてくれること。めちゃめちゃ種類あるので、是非とも公式github見て欲しいです。 https://github.com/telekom-security/tpotce/blob/master/README.md これらを1台にまとめて動かせるので、「実攻撃トラフィックを観測したい」という入り口にはぴったりです。 全体構成 ― あえてELKを分離する ここがこの記事の本題です。 T-Pot はデフォルトで構築すると、ログの可視化基盤である ELK Stack（Elasticsearch / Logstash / Kibana）が丸ごと付いてきます。便利。 システム要件はこんな感じです。 T-Pot Type RAM Storage Hive 16GB 256GB SSD Sensor 8GB 128GB SSD 企業運営だと、難なくデプロイできるでしょう。でも、私は収益も今のとこはない個人。 ELK、重い。 そこで、ELKをVPSから切り離して、自宅のPCで動かす構成にしています。図にするとこうです。 インターネット（攻撃者） │ ▼ ポート 1〜N 番を受ける ┌────────────────────────────┐ │ VPS（WebARENA Indigo） │ │ │ │ T-Pot CUSTOM EDITION │ │ ├ Cowrie（SSH/Telnet） │ │ ├ Dionaea（マルウェア捕獲） │ │ ├ Suricata（IDS） │ │ └ …他多数 │ │ │ │ ※ ELKは載せない（軽量化） │ │ ログはファイルに溜めておくだけ │ └────────────────────────────┘ │ │ SCPで手動取得（週1ペースでもOK） ▼ ┌────────────────────────────┐ │ 自宅PC（普段使いのマシン） │ │ │ │ ELK Stack（Docker） │ │ ├ Elasticsearch（保存・検索） │ │ ├ Logstash（取り込み・加工） │ │ └ Kibana（可視化） │ └────────────────────────────┘ VPS側は「攻撃を受けてログを溜めるだけ」に専念させて、重い分析・可視化は手元のPCに任せる、という分担です。 ...