The Hacker's Path:コンパニオンガイド
この記事はパート1:イントロダクションとパート2:Flipperマスタリーの続きです。攻撃を学びました。今度は防御を構築しましょう。
先月、商用ハニーポットプラットフォームの価格を調べました。Thinkst Canaryは5台で年間5,000ドルを要求します。他のベンダーはセンサーごとに月額課金で、しかも脅威データがまず彼らのインフラを通過します。彼らはあなたより先に攻撃者を見ているのです。
正気じゃないですよね。
ハニーポットとは、攻撃されることを目的として設計されたおとりシステムです。偽のサービス(SSH、SMB、FTP)をデプロイして、何が起きるか観察します。攻撃者は本物のサーバーに侵入していると思っていますが、実際には彼らのツール、テクニック、ターゲットに関する情報をあなたに渡しているのです。これが攻撃的防御です。
コンセプトはシンプルです。実装にローンの支払いほどのコストがかかるべきではありません。
そこで私たちはHoneyAegisを構築しました:セルフホスト型、Docker ネイティブのハニーポットプラットフォームで、ローカルAI分析機能付きです。Raspberry Pi 5がセンサーを動かし、古いAlienwareノートPCが頭脳を担当します。すべてがあなたのネットワーク内に留まります。クラウドなし。サブスクリプションなし。あなたより先に脅威データを見るベンダーはいません。
午後1回のデプロイで、すべてがあなたのものです。永遠に。
ハニーポットとは何か?
構築する前に、何を構築するのか明確にしましょう。
ハニーポットとは、攻撃者を引き付けるために意図的に脆弱にしたシステムです。自動スキャナーや好奇心旺盛なハッカーを騙すのに十分なリアルさがありますが、完全に偽物です。本物のデータなし、本物のユーザーなし、本物のサービスなし。すべてを記録するエミュレートされたサービスだけです。
なぜ必要なのか?
- 早期警告: 攻撃者は本物のシステムの前にハニーポットにヒットします。事前に発見できます。
- 脅威インテリジェンス: どんなツールを使い、どんな認証情報を試し、何を狙っているか把握できます。
- 攻撃パターン: あなたのネットワーク露出に特化したテクニックのデータベースを構築できます。
- トレーニング: リアルタイムで本物の攻撃を観察できます。どんなシミュレーションよりも優れています。
- ペネトレーションテスト: 自分の攻撃演習のための安全なターゲットになります。
HoneyAegisがエミュレートするもの
Cowrie: SSHとTelnetのハニーポット。完全なセッション記録、認証情報のキャプチャ、コマンドのログを取ります。
Dionaea: マルウェアをキャプチャします。SMB、FTP、HTTP、その他のサービスをエミュレートします。分析用のペイロードを保存します。
OpenCanary: マルチサービスハニーポット。Windows共有、MySQL、SSHなどをエミュレートします。高度にカスタマイズ可能です。
2ノードアーキテクチャ
HoneyAegisは意図的な分離を使います:センサーはインターネットに面し、ブレインは保護されたままです。
インターネット ──► ルーター(ポートフォワーディング) ──► Pi 5 センサー
│
│ Vector(ログ)
▼
内部ネットワーク ◄──────► Alienware ブレイン
│
├── PostgreSQL + TimescaleDB
├── FastAPI Backend
├── Ollama(ローカルAI)
├── Next.js Dashboard
└── Redis + Celeryなぜ分離するのか?
センサーは意図的に公開されています。攻撃されます。それが目的です。壊滅的な問題が発生した場合、攻撃者がハニーポットコンテナから脱出した場合でも、Piはおとりだけが載った60ドルのデバイスです。ワイプして再デプロイ。30分です。
ブレインには価値あるすべてが含まれます:データベース、ダッシュボード、AI分析、過去の攻撃データ。インターネットに触れることはありません。内部ネットワークに置かれ、安全なチャネルを通じてセンサーからログを受信します。
⚠️ ブレインは絶対にインターネットに公開してはいけない
ブレインへのポートフォワーディングは即座の侵害を意味します。ブレインにはPostgreSQLデータベース、API、ダッシュボードがあります。公開すれば、攻撃者を実際のインフラに招き入れることになります。ポートフォワードするのはセンサーだけ。ハニーポットのポートだけ。それ以外は何もなし。
ハードウェア構成
私たちが使っている構成です。唯一の正しい構成ではなく、すでに持っていたハードウェアを使った最適なセットアップです。
ノード1 — センサー(Raspberry Pi 5 4GB)
| コンポーネント | 仕様 |
|---|---|
| 役割 | 専用ハニーポットセンサー |
| OS | Raspberry Pi OS (64-bit) |
| CPU | Broadcom BCM2712、クアッドコア Cortex-A76 @ 2.4 GHz |
| RAM | 4 GB LPDDR4X |
| ストレージ | microSD または NVMe(HAT経由) |
| サービス | Cowrie、Dionaea、OpenCanary、Vector、HoneyAegisプラグイン |
| RAM使用量 | 推定 約2〜2.5 GB |
| ネットワーク | インターネット公開(ハニーポットポートのみ) |
ノード2 — ブレイン(Alienware 15 R3)
| コンポーネント | 仕様 |
|---|---|
| 役割 | バックエンド、AI分析、ダッシュボード、データベース |
| OS | Kali GNU/Linux 2025.4 (rolling) |
| CPU | Intel Core i7-7700HQ (4コア / 8スレッド @ 2.8 GHz) |
| GPU | NVIDIA GeForce GTX 1070 Mobile — 8 GB VRAM |
| RAM | 16〜32 GB(最低16 GB推奨) |
| NIC | Qualcomm Atheros Killer E2500 Gigabit Ethernet |
| サービス | FastAPI、PostgreSQL+TimescaleDB、Redis、Celery、Ollama、Next.js、Traefik |
| RAM使用量 | 推定 約7.2 GB |
| ネットワーク | 内部のみ — 絶対に公開しない |
なぜGTX 1070なのか?
ローカルAIが実用的であるためにはGPUアクセラレーションが必要です。GTX 1070は8GB VRAMを持ち、Ollamaでllama3.1:8bを快適に実行できます。これにより、OpenAIやAnthropicにデータを送信することなく、AI生成の脅威サマリーが得られます。AIが攻撃者の行動を分かりやすい言葉で説明してくれます。すべてあなたのハードウェア上で。
ステップバイステップセットアップ:Pi 5センサー
ゼロから構築しましょう。インターネットに面するPi 5センサーから始めます。
フェーズ1:Raspberry Pi 5センサーのセットアップ
所要時間: 45分
前提条件: Raspberry Pi 5(4GB)、microSDカードまたはNVMe HAT、電源、Ethernetケーブル、SSH接続可能な別のコンピューター
1.1 Raspberry Pi OSをフラッシュ
Raspberry Pi Imagerをコンピューターにダウンロードします。microSDカードを挿入してください。
# In Raspberry Pi Imager:
# 1. Choose Device: Raspberry Pi 5
# 2. Choose OS: Raspberry Pi OS Lite (64-bit)
# 3. Choose Storage: Your microSD card
# 4. Click the gear icon for advanced options:
# - Set hostname: honeypot-sensor
# - Enable SSH with password authentication
# - Set username/password (not pi/raspberry)
# - Configure WiFi if needed (but use Ethernet)
# 5. Write the imageカードをPi 5に挿入し、Ethernetを接続して電源を入れます。
1.2 初期設定
PiにSSH接続します:
bash# あなたのコンピューターから
ssh [email protected]
# すべてを更新
sudo apt update && sudo apt upgrade -y
# 基本ツールをインストール
sudo apt install -y git curl vim htop1.3 静的IPを設定
ポートフォワーディングのために、Piには予測可能なIPが必要です。IPアドレスをあなたのネットワーク構成に合わせて置き換えてください:
bash# 現在の接続名を確認
nmcli con show
# 静的IPを設定(あなたのネットワークに合わせて調整)
sudo nmcli con mod "Wired connection 1" ipv4.addresses 192.168.1.50/24
sudo nmcli con mod "Wired connection 1" ipv4.gateway 192.168.1.1
sudo nmcli con mod "Wired connection 1" ipv4.dns "8.8.8.8,8.8.4.4"
sudo nmcli con mod "Wired connection 1" ipv4.method manual
sudo nmcli con up "Wired connection 1"
# 確認
ip addr show eth01.4 Dockerをインストール
bash# 便利スクリプトでDockerをインストール
curl -fsSL https://get.docker.com -o get-docker.sh
sudo sh get-docker.sh
# ユーザーをdockerグループに追加
sudo usermod -aG docker $USER
# Docker Composeプラグインをインストール
sudo apt install -y docker-compose-plugin
# グループ変更を反映するためにログアウトして再ログイン
exit
# SSH再接続後、確認
docker --version
docker compose version1.5 HoneyAegisセンサーをデプロイ
bash# リポジトリをクローン
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# 環境テンプレートをコピー
cp .env.example .env
# 設定を編集
nano .env.envファイルで以下の値を設定します:
bash# センサー設定
HONEYAEGIS_MODE=sensor
BRAIN_HOST=192.168.1.100 # AlienwareのIP
SENSOR_NAME=pi5-sensor-01センサースタックをデプロイ:
bash# センサーサービスを起動
docker compose --profile sensor up -d
# コンテナの起動を確認
docker ps
# 期待されるコンテナ:
# - honeyaegis-cowrie(SSH/Telnetハニーポット)
# - honeyaegis-dionaea(マルウェアキャプチャ)
# - honeyaegis-opencanary(マルチサービス)
# - honeyaegis-vector(ログ転送)
# ログを確認して正常動作を検証
docker compose logs -f
ステップバイステップセットアップ:Alienwareブレイン
次はブレイン、すべてを処理する保護されたノードです。
フェーズ2:Alienwareブレインのセットアップ
所要時間: 30分
前提条件: Kali Linuxインストール済み、NVIDIAドライバー設定済み、Piと同じネットワークに接続
2.1 KaliとNVIDIAの確認
bash# Kaliバージョンを確認
cat /etc/os-release
# NVIDIAドライバーの動作を確認
nvidia-smi
# 以下が表示されるはずです:
# - ドライバーバージョン(535+推奨)
# - GTX 1070 約8GB VRAM
# - CUDAバージョン2.2 KaliにDockerをインストール
bash# 更新してDockerをインストール
sudo apt update
sudo apt install -y docker.io docker-compose-v2
# Dockerを有効化して起動
sudo systemctl enable docker
sudo systemctl start docker
# ユーザーをdockerグループに追加
sudo usermod -aG docker $USER
# ログアウトして再ログイン後、確認
docker --version
docker compose version2.3 NVIDIA Container Toolkitをインストール
DockerコンテナがGPUにアクセスできるようにします。Ollamaに必要です:
bash# NVIDIA container toolkitリポジトリを追加
distribution=$(. /etc/os-release; echo $ID$VERSION_ID)
curl -s -L https://nvidia.github.io/nvidia-docker/gpgkey | sudo apt-key add -
curl -s -L https://nvidia.github.io/nvidia-docker/$distribution/nvidia-docker.list | \
sudo tee /etc/apt/sources.list.d/nvidia-docker.list
# ツールキットをインストール
sudo apt update
sudo apt install -y nvidia-container-toolkit
# DockerをNVIDIAランタイム用に設定
sudo nvidia-ctk runtime configure --runtime=docker
sudo systemctl restart docker
# コンテナ内でGPUアクセスをテスト
docker run --rm --gpus all nvidia/cuda:12.0-base nvidia-smi2.4 HoneyAegisブレインをデプロイ
bash# リポジトリをクローン
git clone https://github.com/thesecretchief/HoneyAegis.git
cd HoneyAegis
# 環境テンプレートをコピー
cp .env.example .env
# 設定を編集
nano .envブレインを設定:
bash# ブレイン設定
HONEYAEGIS_MODE=brain
OLLAMA_GPU=true
POSTGRES_PASSWORD=your-strong-password-here
JWT_SECRET=another-strong-secret
ADMIN_PASSWORD=dashboard-admin-passwordデプロイ:
bash# 完全なブレインスタックを起動
docker compose --profile brain up -d
# 初回起動は数分かかります
# 進捗を確認:
docker compose logs -f
# コンテナが起動したら、AIモデルをダウンロード
docker exec -it honeyaegis-ollama ollama pull llama3.1:8b
# 約4.7GBのダウンロード - 数分かかります
# すべてのコンテナを確認
docker ps
# 期待されるコンテナ:
# - honeyaegis-fastapi(APIバックエンド)
# - honeyaegis-postgres(データベース)
# - honeyaegis-redis(キャッシュ/キュー)
# - honeyaegis-celery(バックグラウンドワーカー)
# - honeyaegis-ollama(ローカルAI)
# - honeyaegis-nextjs(ダッシュボード)
# - honeyaegis-traefik(リバースプロキシ)
重要なポイント
ハニーポットセンサーは意図的に公開されています。ブレインノードは決して公開してはいけません。この分離がアーキテクチャ全体の基盤です。攻撃者がPi上のコンテナから脱出しても、価値あるものは何も見つかりません。データ、ダッシュボード、AI分析は内部ネットワークで安全に保たれます。
ネットワーク設定
ここで人々がミスを犯します。注意して読んでください。
⚠️ ポートフォワーディングルール
Piセンサーにフォワードするのはこれらのポートだけ:
| サービス | 外部ポート | 内部(Pi)ポート | プロトコル |
|---|---|---|---|
| SSHハニーポット | 22 | 2222 | TCP |
| Telnetハニーポット | 23 | 2223 | TCP |
| FTPハニーポット | 21 | 2121 | TCP |
| SMBハニーポット | 445 | 4450 | TCP |
以下は絶対にフォワードしない:
- ポート3000(ダッシュボード)
- ポート8000(API)
- ポート5432(PostgreSQL)
- ポート6379(Redis)
- Alienwareへの一切のポート
ルーターにログインし、Piの静的IP(この例では192.168.1.50)へのポートフォワーディングを設定してください。ハニーポットサービスは内部では高番号ポートで動作しますが、攻撃者には外部で標準ポートとして見えます。
ダッシュボードへのアクセス
内部ネットワーク上の任意のコンピューターから:
bash# ブラウザで開く:
http://192.168.1.100:3000
# デフォルトの認証情報(すぐに変更してください!):
# ユーザー名:admin
# パスワード:(ADMIN_PASSWORDに設定した値)表示される内容:
- リアルタイム攻撃フィード: 入ってくる攻撃のライブストリーム
- GeoIPマップ: 攻撃の発信元の視覚的な表現
- セッション録画: SSH/Telnetセッションの完全な記録、MP4/GIFでエクスポート可能
- AIサマリー: Ollamaが生成した攻撃パターンの分かりやすい説明
- 統計: 攻撃頻度、よく使われる認証情報、標的となったサービス
- アラート設定: Apprise経由でSlack、Discord、メール通知を設定
HoneyAegisでペネトレーションテスト
ここからが楽しいところです。ハニーポットは攻撃テクニックを練習するための安全なターゲットです。
演習:自分のハニーポットを攻撃する
Kaliから(Piの内部IPをターゲットに):
- Piに対してnmapを実行し、公開サービスを確認
- HydraでSSHブルートフォースを試行
- SMB列挙を試行
- ダッシュボードがリアルタイムで反応するのを観察
- あなたの攻撃に対するAI分析を読む
bash# ハニーポットをスキャン
nmap -sV -p 22,23,445,21 192.168.1.50
# SSHブルートフォース(Cowrieはすべて受け入れてログに記録)
hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.50:2222
# 手動で接続して探索
ssh [email protected] -p 2222
# よくあるパスワードを試す - Cowrieはそれを受け入れます
# ダッシュボードを確認 - あなたのセッションが即座に表示されます
# AIがあなたの行動を説明するのを見てくださいThe Hacker's Pathとの統合:
- パート3(Kali基礎): ハニーポットを偵察ターゲットとして使用
- パート4(エクスプロイテーション): 制御された環境でMetasploitを練習
- パート5(フルオーディット): 防御コンポーネントとしてハニーポットデプロイメントを組み込む
同じPiでHome Assistantは?
短い答え:やめましょう。
⚠️ ハニーポットを隔離する
ハニーポットセンサーは意図的にインターネットに公開されています。攻撃されます。それが目的です。同じデバイスでHome Assistantを動かすと、スマートホームのコントロールが攻撃者からコンテナ脱出1回分の距離に置かれます。何かがうまくいかなかった場合、爆発半径を偽のサービスに限定したいのであって、本物のドアロックやサーモスタットに及ばせたくないはずです。Home Assistantには別のPiを使ってください。
良いニュースは?約1.5GBの余裕は無駄にはなりません。HoneyAegisには成長の余地があります。
Piの容量をより有効に活用する
公開デバイスに無関係なサービスを詰め込む代わりに、その余裕をより深いハニーポット機能に使いましょう:
Pi 5 4GB RAMバジェット(専用センサー)
| システムオーバーヘッド | 約500 MB |
|---|---|
| Cowrie(SSH/Telnet) | 約300 MB |
| Dionaea(マルウェアキャプチャ) | 約400 MB |
| OpenCanary(マルチサービス) | 約200 MB |
| Vector(ログ転送) | 約100 MB |
| 基本合計 | 約1.5 GB |
| 拡張用に利用可能 | 約2.5 GB |
ロードマップ:HoneyAegisに追加予定
HoneyAegis GitHubプロジェクト向けの追加センサーモジュールを積極的に開発中です。計画中の追加機能:
- Conpot(約200 MB) — 産業制御システムハニーポット。PLCとSCADAシステムをエミュレート。
- Mailoney(約100 MB) — SMTPハニーポット。スパムボットと認証情報収集を捕捉。
- Elasticpot(約150 MB) — Elasticsearchハニーポット。公開クラスターをスキャンするボットを捕捉。
- ADBHoney(約100 MB) — Android Debug Bridgeハニーポット。モバイルを標的にする攻撃者を検出。
- ハニートークン — 使用時にアラートを発する偽のAWS認証情報とAPIキー。
アーキテクチャはこのために設計されています。HoneyAegisはモジュラーなDocker Compose構造を使用しており、新しいハニーポットはコンテナとして追加され、Vectorがそのログをブレインに転送します。リポジトリにスターを付けて開発をフォローするか、独自のモジュールをコントリビュートしてください。
原則: ハニーポットセンサーは1つのことをうまくやるようにしましょう。魅力的で隔離されたターゲットとして、ブレインにインテリジェンスを供給すること。Home Assistantはそれが属する別のデバイスで動かしてください。
関連記事:Operation Smart HomeはHome Assistantの専用セットアップを扱い、あなたのWiFiはあなたの動きを見ているは専用ハードウェアでのWiFiセンシングを解説しています。
トラブルシューティングとメンテナンス
bash# ログを表示(両方のノード)
docker compose logs -f
docker compose logs -f service-name
# サービスを再起動
docker compose restart cowrie
# コンテナのリソース使用量を確認
docker stats
# データベースバックアップ(ブレイン上で)
docker exec honeyaegis-postgres pg_dump -U honeyaegis honeyaegis > backup.sql
# HoneyAegisを更新
git pull
docker compose pull
docker compose up -d
# 古い攻撃データを削除(注意!)
docker exec honeyaegis-postgres psql -U honeyaegis -c \
"DELETE FROM sessions WHERE created_at < NOW() - INTERVAL '30 days';"よくある問題:
- ポート競合: 別のサービスがハニーポットポートを使用。
netstat -tlnpで確認 - NVIDIAドライバーの不一致: Container toolkit バージョンがドライバーと一致する必要があります。ドライバー更新後にtoolkitを再インストール。
- Vectorがログを転送しない:
docker compose logs vectorを確認。通常、ノード間のネットワーク/ファイアウォールの問題。 - Ollamaが遅い:
docker exec honeyaegis-ollama nvidia-smiでGPUアクセスを確認
次のステップ
あなたは今、本物の脅威インテリジェンスを生成するプロダクションハニーポットネットワークを持っています。進化させる方法はこちら:
- 1週間稼働させてみましょう。 攻撃がどれだけ速く現れるか驚くでしょう。通常は数時間以内です。
- ハニーポットの「粘着性」を調整。 Cowrieをより現実的なファイルシステムをエミュレートするように設定し、攻撃者をより長く引き付けましょう。
- ハニートークンを追加。 使用時に即座にアラートを発する偽の認証情報をデプロイ。
- 脅威フィードを統合。 MISPやAbuseIPDBに接続して、攻撃者に関する豊かなコンテキストを取得。
- センサーフリートを拡大。 ネットワークの異なる出口ポイントに追加のPiセンサーをデプロイ。
商用プラットフォームはあなたのネットワークを攻撃しているものを見せるために年間5,000ドルを請求します。あなたは同じ能力をPi1台分と少しの電気代で構築しました。攻撃者はあなたが見ていようがいまいが来ます。今、あなたは見ています。
デプロイメントチェックリスト
☐ Pi 5: 静的IP割り当て済み、Docker インストール済み、センサースタック稼働中
☐ Alienware: NVIDIAツールキットインストール済み、Docker稼働中、ブレインスタックデプロイ済み
☐ Ollama: llama3.1:8bモデルダウンロード済み、GPUアクセラレーション確認済み
☐ ネットワーク: ポートフォワーディング設定済み(ハニーポットポートのみ!)
☐ ブレイン隔離: ブレインにインターネット露出がないことを確認済み
☐ ダッシュボード: 内部IPからアクセス可能、管理者パスワード変更済み
☐ Vector: センサーからブレインへログが流れていることを確認
☐ 最初の攻撃: 自分のハニーポットを攻撃してテスト
☐ AI分析: Ollamaが脅威サマリーを生成することを確認
The Hacker's Path
このガイドはセキュリティシリーズの一部です。
パート1:イントロダクション パート2:Flipperマスタリー HoneyAegisガイド ✓ パート3:Kali基礎 パート4:エクスプロイテーション
