ハニーポットというと、もしかしたら各種サーバーのエミュレーションソフトウエア、というイメージがあるかも知れないですね。honeydとかはまさにそうだしね。サーバーをエミュレートして、攻撃者が仕掛けてきていることを記録する、というのは、ハニプロ本では第一世代ハニーポットと位置づけられていますが、取得できる情報はやはり限られた者にならざるを得なかったわけですね。実装を想像するとおわかりだと思いますが、Webサーバーを偽装したとしても、攻撃者の一次的な攻撃しか捕捉できないわけです。そのカテゴリでは、もっともシンプルに機能を特化したものがdumnetで、もっとも高機能化したものが旧ManTrap、現Decoy Serverでしょうね。
しかし、偽装はいつか見破られますし、何よりもっとたくさんの情報を取得しないと、せっかくハニーポットを設営してもあまり役に立ちません。それどころか踏み台にされてしまうなどのしゃれにならない事態になってしまうと、きちんと記録が残っていないと大問題です。
そこで登場したのが第二世代（GenII）ハニーポット＝ハニーネットでした。これは、サーバーをエミュレートするのではなく、通常構築するのとほとんど同じサーバーを、各種記録機能、安全装置で囲むようにして観察・制御する、というものです。中核にあるのはごく普通のサーバー、apacheやIISによるWebサーバー、postfixやqmailによるSMTPサーバーなどなど。その周囲に、外向けのパケットを制御する踏み台防止機能や、録画機能などが配置されてる、というのが、第二世代ハニーポット＝ハニーネットだったりするわけですね。
エミュレーションを主流とするハニーポットは、正直なところ「どこに使うの？」という感じなんですが、この第二世代は、普通にインシデント対応に備えて実装できますよね。
インシデントに際していつも問題になるのは、「ちゃんとした記録が残ってないから、いつ何をされたのかわかんない」というところだったりしますよね。いったん侵入されてしまうと、ログ改ざんやらモジュール隠しやらのさまざまな偽装のアイディアが何でもあり得ることになってしまうわけで。事後調査はとっても骨が折れます。っていうか、フル・フォレンジックスはもう専門家でなければ無理でしょうね。
ではログ解析？いや、ログは改ざんされているかも知れません。何を信用すべきか、という立脚点を定めるのもホネだったりします。
しかし、ハニーネットから一部の機能を援用しておけば、サーバーのログよりは信頼性が高い録画記録を行ったり、踏み台にされて二次的な被害を出すことを防止できるかもしれません。
例えば価格.comのような場合、もしかしたらウイルスをダウンロードさせるのを防止できていたかも知れませんし、手口の観察？のために謎の三日間（笑）を無駄に過ごして世間から非難囂々なんてならなくて済んだかも知れません。
そろそろそういう予防策も考えるべきでしょうねえ。予防策、というよりは、速やかな事後対策のための準備、という感じですけどね。