LLM Honeypots Deceive Hackers into Exposing Attack Methods
2025/07/28 gbhackers — 人工知能 (AI) を搭載するハニーポットにサイバー犯罪者を巧妙に誘導し、攻撃戦略を暴くことを、サイバー・セキュリティ研究者たちが成功させた。この手法が実証するのは、脅威情報の収集における有望かつ新規のアプローチである。大規模言語モデル (LLM) を用いて攻撃者を欺き、攻撃手法やインフラを暴露させる、説得力のある偽システムの作成が、この手法により可能となる。
革新的な欺瞞技術
この成果を達成したのは、AI レスポンスを用いて脆弱なシステムをシミュレートする、ローコード・ハニーポット・フレームワーク Beelzebub である。
従来のハニーポットは、大規模な手動設定を必要としていたが、この LLM ベースの手法で自動的に生成されるのは、本物の標的に侵入したと攻撃者に信じ込ませる、リアルなコマンド出力である。
このシステムは、1つの YAML ファイルによるコンフィグが可能であり、OpenAI のGPT モデルや、Llama などのローカル代替モデルとの統合が可能である。また、このハニーポットの SSH サービスは、実際の Ubuntu サーバを模倣するものであり、本物のシステム・レスポンスを再現する。
コマンドを実行する攻撃者に対して、もっともらしい出力を生成する AI は、侵害済みのシステムという幻想を維持させながら、あらゆる悪意のアクティビティを密かに記録する。
最近のデプロイメントにおいては、IP アドレス 45.175.100.69 からのライブ攻撃が、研究者により捕捉された。この攻撃で攻撃者は、共通の認証情報 “admin/123456” を用いてアクセス権を取得していた。
この制御された環境での操作を認識できない攻撃者は、”deep-fm.de” に存在する侵害された Web サイトから、複数の悪意のバイナリをダウンロードしていた。さらに、この捕捉されたセッションで明らかにされたのは、SSH デーモンを装う Perl ベース・バックドアのダウンロードを試行する、高度な攻撃パターンの存在である。
一連の悪意あるスクリプトには、IRC ベースの C2 サーバのコンフィグ情報がハードコードされており、具体的には、Undernet のチャネル #rootbox および #c0d3rs-TeaM が標的とされていた。
このハニーポットにより補足されたものには、攻撃者の完全なコマンドシーケンス/マルウェア配布インフラ/ボットネット通信プロトコルといった、貴重な脅威インテリジェンスがある。
さらなる分析の結果として判明したのは、脅威アクターが Joomla ベースの Web サイトを侵害し、悪意のペイロードをホストすることで、サイバー犯罪ツールの配布プラットフォームへと、正規のインフラを転用していたことだった。
捕捉された Perl スクリプトから明らかにされたのは、IRC サーバ・コンフィグ (ix1.undernet.org:6667)/管理者ユーザー名 “warlock`”/承認済みホスト・パターンなどの、重要な運用の詳細である。
これらの情報を分析した研究者は、ボットネットのコマンド構造をマッピングし、アクティブな感染キャンペーンを特定できた。その後に研究者は、Undernet の管理者に IRC チャネルについて報告し、ボットネット活動を停止させることに成功した。
この事例が示すのは、LLM ベースのハニーポットの用途は、情報の収集だけに留まるものではなく、アクティブな脅威への迅速な対応も可能にすることだ。
この手法が提示するのは、欺瞞型サイバー・セキュリティ技術における大きな進展であり、従来のハニーポットの限界を超えた、自動化された脅威ハンティング機能の実現化である。
サイバー犯罪者たちが自動化ツールの活用を強化する一方で、このような AI を活用する欺瞞システムは、攻撃者自身の手法を逆手に取る効果的な対策となる。
この新たなアプローチは、セキュリティ・チームが脅威インテリジェンスを収集し、進化するサイバー脅威に対処する方法に、革命をもたらすと期待される。
この Beelzebub の研究は、AI を用いるハニーポットにより、攻撃者を騙す手法を実践するものです。特に注目すべき点は、攻撃者に本物のシステムだと思わせる出力を、AI が生成するという部分です。このような LLM Honeypot が普及し、洗練された防御手段が確立する未来に、期待したいですね。よろしければ、カテゴリ SecTools も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.