対象試験と出題頻度
ハニーポットは、情報セキュリティマネジメント・基本情報技術者・応用情報技術者試験で出題されることがあるセキュリティ用語です。
頻出ではありませんが、「おとりシステム」という独特の概念なので、一度理解しておけば確実に得点できます。
詳細をクリックして確認
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★☆☆☆
ランクC(応用)余裕があれば覚える
用語の定義
ハニーポット(Honeypot)とは、一言で言うと「攻撃者をおびき寄せるために意図的に設置する『おとり』のシステム」のことです。
イメージとしては、「蜂蜜の壺(Honey Pot)に蜂が寄ってくる」様子そのものです。甘い蜜(脆弱なシステムに見せかけたおとり)を置いておくと、攻撃者(蜂)がやってきます。その攻撃者の行動を観察・記録することで、攻撃手法や最新の脅威動向を把握できます。
情報処理試験を勉強していると、「わざと攻撃させるって、危険じゃないの?」と思うかもしれません。もちろんリスクはありますが、ハニーポットは本番システムとは完全に分離された環境に設置するため、実際の業務に影響はありません。むしろ、攻撃者の手口を知ることで、本番システムの防御を強化できるというメリットがあります。
📊 ハニーポットの基本概念
| 項目 | 説明 |
|---|---|
| 目的 | 攻撃者の手法・動向を分析し、防御に活かす |
| 仕組み | 脆弱なシステムに見せかけた「おとり」を設置 |
| 記録内容 | 攻撃元IP、攻撃手法、使用ツール、侵入後の行動など |
| 活用先 | 脅威インテリジェンス、セキュリティ研究、早期警戒 |
解説
ハニーポットは、サイバーセキュリティにおいて「攻撃を受ける前提」で設置する特殊なシステムです。通常のセキュリティ対策が「攻撃を防ぐ」ことを目的とするのに対し、ハニーポットは「攻撃を観察する」ことを目的としています。
ハニーポットの種類
ハニーポットは、その相互作用の深さによって大きく2種類に分けられます。
低対話型ハニーポット(Low-Interaction Honeypot)は、実際のサービスをエミュレート(模倣)するだけの簡易的なおとりです。例えば、SSHやFTPのログイン画面だけを模倣し、攻撃者のログイン試行を記録します。構築・運用が容易で安全性が高い反面、収集できる情報は限定的です。
高対話型ハニーポット(High-Interaction Honeypot)は、実際のOSやアプリケーションを動作させる本格的なおとりです。攻撃者は侵入後も自由に活動できるため、詳細な攻撃手法や、侵入後の行動(ラテラルムーブメントなど)まで観察できます。ただし、構築・運用が難しく、おとりを踏み台にされるリスクもあります。
📊 低対話型と高対話型の比較
| 項目 | 低対話型 | 高対話型 |
|---|---|---|
| 仕組み | サービスを模倣(エミュレート) | 実際のOS・アプリを稼働 |
| 収集情報 | 限定的(攻撃の初期段階) | 詳細(侵入後の行動まで) |
| 構築難易度 | 低い | 高い |
| リスク | 低い | 踏み台にされるリスクあり |
| 用途 | 攻撃傾向の把握、早期警戒 | 詳細な攻撃手法の分析、研究 |
ハニーポットの活用目的
ハニーポットは、主に以下の目的で活用されます。
脅威インテリジェンスの収集として、最新の攻撃手法、使用されるツール、マルウェアのサンプルなどを収集し、セキュリティ対策に活かします。セキュリティベンダーや研究機関が多く活用しています。
早期警戒システムとしても使われます。ハニーポットへのアクセスは、通常であれば発生しないはずのものです。アクセスがあれば、それは攻撃の兆候と判断できるため、本番システムへの攻撃を予測する早期警戒に役立ちます。
攻撃者の注意をそらす効果もあります。攻撃者がハニーポットに時間を費やしている間に、本番システムへの攻撃を遅らせたり、防御を強化したりする時間を稼ぐことができます。
セキュリティ教育・研究にも活用されます。実際の攻撃を安全な環境で観察できるため、セキュリティ人材の教育や、学術研究に利用されています。
💡 ハニーポットで収集できる情報
① 攻撃元のIPアドレス:どの国・地域から攻撃が来ているか
② 攻撃手法:どの脆弱性を狙っているか、どんなエクスプロイトを使っているか
③ 使用ツール:攻撃に使われるツールやスクリプト
④ マルウェアサンプル:アップロードされたマルウェアの検体
⑤ 侵入後の行動:どのように権限昇格するか、どこに接続しようとするか
ハニーネット
複数のハニーポットをネットワークとして構成したものをハニーネット(Honeynet)と呼びます。ハニーネットでは、攻撃者がネットワーク内を横移動(ラテラルムーブメント)する様子も観察できるため、より実践的な攻撃シナリオを分析できます。
⚠️ ハニーポットの注意点
① 踏み台リスク:高対話型ハニーポットが乗っ取られ、他のシステムへの攻撃に悪用される可能性
② 法的リスク:国や地域によっては、おとりシステムの運用に法的制限がある場合も
③ 運用負荷:大量のログを分析する人的リソースが必要
④ バレるリスク:高度な攻撃者はハニーポットを見破り、回避することがある
ハニーポットの運用には専門知識が必要であり、一般企業が独自に運用するケースは多くありません。
試験ではこう出る!
ハニーポットは、情報セキュリティマネジメント・基本情報・応用情報技術者試験で出題されることがあります。
「おとりシステム」という基本概念を押さえておけば、確実に正解できます。
【試験で狙われるポイント】
- ハニーポット = 攻撃者をおびき寄せる「おとり」システム
- 攻撃手法や動向を分析・記録することが目的
- 本番システムとは分離して設置する
- 「防御」ではなく「観察・分析」が主な役割
- 低対話型(簡易)と高対話型(本格的)の2種類
試験問題で「攻撃者をおびき寄せるために設置する、脆弱性を持つように見せかけたシステム」や「攻撃手法を分析するためのおとりサーバー」という記述があれば、それは「ハニーポット」に関する記述です。
試験ではここまで押さえておけばOKです。低対話型と高対話型の細かい違いや、ハニーネットの詳細までは、基本情報レベルでは問われません。「おとりで攻撃者の手口を分析する」という基本コンセプトを確実に理解しておきましょう。
📊 セキュリティ対策の分類(試験対策)
| 対策 | 目的 |
|---|---|
| ファイアウォール | 不正な通信を遮断(防御) |
| IDS/IPS | 不正アクセスを検知・遮断(検知・防御) |
| SIEM | ログを分析して脅威を可視化(分析) |
| ハニーポット | 攻撃者をおびき寄せて手口を分析(観察・分析) |
📝 IPA試験での出題ポイント
ハニーポットは「蜂蜜の壺」という名前のとおり、「甘い罠で攻撃者を誘い込む」というイメージで覚えましょう。他のセキュリティ対策が「攻撃を防ぐ」のに対し、ハニーポットは「攻撃を受け入れて観察する」という逆転の発想がポイントです。この違いを理解しておけば、選択肢で迷うことはありません。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. ハニーポット(Honeypot)に関する説明として、最も適切なものはどれでしょうか?
- A. ネットワーク上の不正アクセスをリアルタイムで検知し、自動的に通信を遮断するシステム
- B. プログラムやファイルを隔離された安全な環境で実行し、その挙動を観察して安全性を検証する仕組み
- C. 攻撃者をおびき寄せるために意図的に設置する「おとり」のシステムで、攻撃手法や動向を分析するために使用する
正解と解説を見る
正解:C
解説:
ハニーポット(Honeypot)は、攻撃者をおびき寄せるために意図的に設置する「おとり」のシステムです。「蜂蜜の壺(Honey Pot)」に蜂が寄ってくるように、脆弱なシステムに見せかけたおとりに攻撃者を誘い込み、その攻撃手法や動向を分析・記録します。本番システムとは分離して設置するため、おとりが攻撃を受けても実際の業務には影響しません。収集した情報は、セキュリティ対策の強化や脅威インテリジェンスに活用されます。
選択肢Aは「IPS(侵入防止システム)」の説明です。選択肢Bは「サンドボックス」の説明であり、いずれもハニーポットとは異なります。ハニーポットは「防御」ではなく「観察・分析」が目的である点がポイントです。
