Resecurity の AI ハニーポット:ShinyHunters に打撃を与えた巧妙な合成データ作戦とは?

Hackers Trapped in Resecurity’s Honeypot During Targeted Attack on Employee Network

2026/01/05 CyberSecurityNews — 合成データ・ハニーポットを展開することで脅威アクターを出し抜いた Resecurity は、偵察情報を実用的なインテリジェンスへと転換している。最近の作戦では、エジプトと関係するハッカーを罠に掛けただけではなく、ShinyHunters グループを欺き、虚偽の侵害報告を引き出すことに成功している。Resecurity は、対諜報活動を目的とした欺瞞技術を高度化し、企業環境を精巧に模倣することで脅威アクターを管理された罠へ誘引している。

これらの技術は、侵入者を受動的に記録する従来型のハニーポットや、設定不備を模したサービス/ダミー・リソースを基盤とするものだが、現在では AI 生成の合成データを活用して強化されている。それにより、現実世界のパターンを再現するが、実在する機密情報を漏洩させることはない。過去にダーク Web で流通した侵害データを参照することでリアリティを高め、高度な検証能力を持つアクターであっても、欺くことが可能となっている。

2025年11月21日に、Resecurity の DFIR チームが検知した脅威アクターは、権限の低い従業員を標的とした後に、一般向けのサービスをスキャンした。そのときに残された指標には、IP アドレス 156.193.212.244/102.41.112.148 (エジプト) に加えて、VPN としての 45.129.56.148 (Mullvad)/185.253.118.70 が含まれていた。

これを受けた対応チームは、エミュレートされたアプリケーション内にハニートラップを構築し、合成データセットを生成した。このデータセットに含まれたものは、合成データ生成ツール SDV/MOSTLY AI/Faker を用いて作成された 28,000 件の消費者レコード (ユーザー名/メールアドレス/コンボリスト由来の偽個人情報) と、Stripe を模倣した 190,000 件の決済取引データである。

さらに、攻撃者を誘導するために、ロシアのマーケットプレイスには “Mark Kelly” というおとりアカウントが設置された。

Hackers Trapped Honeypot
records from Honeypot

このハニートラップにログインした攻撃者は、12月12日から 24日にかけて、カスタム・オートメーションと住宅用プロキシを用いて、188,000 件以上のデータ・スクレイピング・リクエストを送信した。

Resecurity はプロキシをブロックし、その時点で判明しているホストの再利用を強制した。これにより、戦術/インフラ/OPSEC 上の不備に加えて、偽のプロキシ障害時に露呈した実 IP アドレスなどに関連する “不正使用データ” が取得された。さらに、調査結果を法執行機関と共有した結果として、最終的には国外当局による召喚状の発行に至った。

隔離されたデコイである Office 365/VPN、ならびに、2,023 件の偽チャット (OpenAI により生成された 6 グループ) を用いる旧 Mattermost インスタンスは、実害を被ることなく高価値な環境を模倣できる点で有効であることが示された。

アップデートによる ShinyHunters の捕捉

2026年1月3日の更新により、過去に Resecurity がプロファイリングしていた ShinyHunters がトラップに再び陥り、”[honeytrap].b.idp.resecurity.com” という偽システムへの “フルアクセス” を、Telegram 上で誇示していたことが判明した。

Hackers Trapped Honeypot
Telegram group update

そのスクリーンショットに表示されていたのは、”Mark Kelly” のダミー Mattermost/実在するドメインに似せた “resecure.com” のような偽ドメイン/重複するテスター・アカウント由来の bcrypt ハッシュ化 API トークン/価値のない古いログなどである。

この Resecurity の戦術により、ShinyHunters 内では混乱が生じた。その過程でソーシャル・エンジニアリングを通じて特定されたのは、”jwh*****y433@gmail.com” および、米国の電話番号、活動中に利用された Yahoo アカウントへのリンクなどである。

このインシデントが示したのは、サイバー・デセプションが脅威ハンティングと調査において高い有効性を持ち、制御されたエンゲージメントから IOC/IOA を生成できることだった。ただし、プライバシー法令の遵守は重要である。

Resecurity のログと、過去の ShinyHunters による暴露インシデントが示唆するのは、報復的行動が裏目に出たことで、自白に近い情報が露呈した可能性である。ユーザー企業における戦術として、監視されたデコイを通じて非本番環境で攻撃を再現させることで、金銭目的の脅威アクターに対するプロアクティブな防御を強化できることが明らかになった。

AI を駆使する最新の欺瞞技術が、熟練したハッカーをも翻弄したという興味深いニュースです。目の前にあるデータが本物かどうかを、攻撃者が判断する際に、AI により精巧に作られた合成データ (偽データ) と本物の区別がつかなくなっているようです。これまでのハニーポットは、不自然な挙動から偽物だと見破られることもありましたが、いまでは過去の侵害データや AI 生成技術を組み合わせることで、実在するシステムと見間違えるほどのリアリティを持たせることが可能になったと指摘されています。その結果として、攻撃者は価値のある情報を盗んでいると思い込みながら、実際には自分の活動拠点やインフラ情報を守備側にさらけ出すことになります。攻撃者の心理や偵察のプロセスを逆手に取った、きわめて高度な防御手法といえます。よろしければ、Honeypot での検索結果も、ご参照ください。