LLMで偽装Webページを自動生成するハニーポット
Zenn / 2026/3/23
💬 オピニオンDeveloper Stack & InfrastructureIdeas & Deep AnalysisTools & Practical Usage
要点
- LLMを使って、攻撃者に見せるための偽装Webページ(ハニーポット)を自動生成し、クローラや侵入試行を誘導・観測する仕組みを紹介している
- 偽のページ内容を動的に作ることで、従来型の固定ハニーポットよりも攻撃者の挙動や探索パターンを引き出しやすくする狙いがある
- ハニーポット生成をLLMに任せることで運用のスケール性(ページ追加や多様化)を高め、分析対象データを増やせる点が重要とされる
- 検知・防御の観点では、生成型の偽装が攻撃者側にも悪用されうるため、防御用途としての設計や安全面の考慮が前提になる
LLMを使ってリアルなWebハニーポットを生成・運用するためのツール tamamo を実装したので、背景と設計上の判断について解説します。
https://github.com/secmon-lab/tamamo
モチベーション
ハニーポットは攻撃者を捕捉する様々な目的で利用されます。多くは攻撃者の挙動を研究するために使われますが、攻撃者の検知にも有効です。ただし public internet は常に攻撃にさらされているため、攻撃の検知という用途には不向きです。一方で、内部ネットワークにおけるラテラルムーブメントの検出には非常に有用です。内部ネットワークでは原則として攻撃的なアクセ...
この記事の続きは原文サイトでお読みいただけます。
原文を読む →
