世界有数の脅威情報共有プラットフォームがWhoisXML APIのWHOIS・IP・DNSデータを統合
脅威情報共有プラットフォームは、インシデントの検知、被害軽減および対応の支援を通じ、企業が潜在的な脅威を把握できるようにする基盤です。リスクの高いインターネットプロパティに関する包括的・全体的な情報を企業ユーザーに提供するために、このようなセキュリティプラットフォームの事業者は、さまざまなソースからデータを収集します。
ここに大きな課題があります。WHOIS、IPアドレス、DNSおよびサブドメインの有意義なデータを収集するためには、DNSとドメインのクエリを毎週数百万件処理し、数百のドメインレジストラ、インターネットレジストリおよびISPと契約関係を構築しなければなりません。また、データ形式が事業者ごとに異なるため、フォーマットや互換性の問題が生じます。すなわち、何十億行ものデータを抽出し、統一のフォーマットに変換する必要が出てきます。
こうした課題を解決するため、さまざまな脅威情報共有プラットフォームが、12年以上をかけてWhoisXML APIが収集してきたすぐに使える解析済みデータを統合しています。WhoisXML APIのインテリジェンスは、15.6億件のWHOISレコード、23億件のサブドメイン、13.1万件のIPアドレスブロックの情報を備えています。
WhoisXML APIのデータで脅威情報共有プラットフォームを補完
解析済みですぐに利用可能なフォーマットのデータであれば、脅威情報共有プラットフォームへの統合が容易になります。通常、WhoisXML APIがご提供するデータは数週間程度で統合できます。他方、多数の企業から同じデータセットを入手し、情報を解析してプラットフォームに適した形式に変換しようとすると、何年もかかることがあります。
すでに複数の脅威情報共有プラットフォームが、当社のデータソースを使用しています。その一例がMaltegoで、タイポスクワッティングの調査、リバースフットプリントの拡大およびドメイン所有者の特定といったユースケースにWhoisXML APIのデータを統合、実装しています:
また、リスク調査の結果をWHOISデータで補完しているIBM X-Force Exchangeの事例も挙げられます:
その他のデータは、以下で示すCyberIQのパッシブ偵察プラットフォームのように、WhoisXML APIのDomain WHOIS、IPおよびDNSのデータベースでアクセスできます:
脅威情報共有プラットフォームにおける主な活用事例
WhoisXML APIのデータがあれば、脅威情報共有プラットフォームでは以下のようなことが可能になります。
デジタルフットプリントのマッピング
WHOISデータ
WHOISデータを活用して特定の電子メールアドレスおよびその他の登録情報を持つすべてのドメイン名を関連付けることができます。この方法を使えば、インターネット上の疑わしい人や組織の関与するインシデントを把握できるかもしれません。ドメイン名登録レコードの共通点に注目することで脅威情報のソリューションは充実し、より広範なサイバー調査ができるようになります。
IPアドレス/DNSデータ
過去のDNSデータがあれば、脅威情報共有プラットフォームに入力されたIPアドレスのデジタルフットプリントがわかります。プラットフォームはそのIPアドレスに名前解決するすべてのドメイン名をリストアップし、そのうちのどれが攻撃に使われた可能性があるかをユーザーに示すことができます。また、IPアドレスの地理的位置データとIPアドレスレンジの所有に関するデータを用いれば、情報をさらに補完できます。行為が悪意であると証明された場合、後者のデータは最終的にIPアドレスを削除する際に役立ちます。
サブドメインのデータ
WhoisXML APIのインテリジェンスは、ドメインフットプリントの主要な部分となり得るサブドメインもカバーしています。サブドメインのデータを活用すれば、脅威情報共有プラットフォームでより幅広い分析を行うことができます。また、ユーザーはドメインの基盤の一部として隠されがちな情報にアクセスすることができます。
DNSデータによる関連付け
ネームサーバーやメールサーバーなど同じDNSデータを共有する複数のドメイン名を単一の人/組織が管理している場合があります。そのような場合、互いのデジタルフットプリントにその情報が含まれているかもしれません。このような関連付けは、セキュリティチームやサイバー犯罪の捜査官により多くのインテリジェンスをもたらすことになります。
ドメイン名のコンテキストを深く追求
WHOISデータがあれば、脅威情報共有プラットフォームのユーザーはドメイン名の背景を読み解くことができます。サイバーセキュリティチームや捜査官は、以下のような疑問に答えを出すことができるでしょう。
- 特定のドメイン名を誰が登録している/していたのか?
- 登録者はどこにいるのか?
- そのドメイン名の登録者、レジストラおよびネームサーバーについて注目すべき変更が生じているか?
- そのドメイン名は大量登録されたものか?
新たなデジタルプロパティを監視
脅威情報共有プラットフォームのアルゴリズムには、レピュテーションのスコアリングでドメインの年齢を考慮するものがあります。このようなケースではドメイン名の新規登録を追跡することが有効ですが、それはドメイン名のWHOISデータを利用すれば可能です。
脅威情報共有プラットフォームをDNSデータで強化すると、新たなサブドメインを検知するとともに、そのサブドメインが最初に出現した日付や最終更新日なども確認できます。IPアドレスレンジの最近の動向についても、関連する連絡先、地理的位置、AS番号などの詳細情報を参照して監視することが可能となります。
疑わしい変更や更新を発見
ドメイン名登録、IPアドレス割り当ておよびDNS名前解決に関するレコードの更新は常に発生していますが、脅威情報共有プラットフォームが通常と異なる更新を検知した場合、それは疑わしい行為の前兆かもしれません。少なくとも、そうしたレコードの更新はサイバー攻撃者にとって好機となり得るのです。
例えば期限切れのまま放置されたドメイン名は、脅威者によって再登録され、フィッシング詐欺やビジネスメール詐欺(BEC)に悪用される可能性があります。ドメイン名、IPアドレスおよびDNSのデータを脅威情報共有プラットフォームに統合すれば、以下を検知できるようになります。
- 登録の有効期間を過ぎて第三者の再登録が可能になった(ドロップされた)ドメイン名
- 予期しないIPアドレスの割り当て
- ドメイン名の状態の変更
- 新たなメールサーバーやネームサーバーの登録
- IPアドレスまたはドメイン名の名前解決に関する最終更新
- 休眠状態にあったドメイン名またはサブドメインの突然の有効化
WhoisXML APIは今後も脅威情報共有プラットフォームをデータで支え、プラットフォーム利用者が行うサイバーセキュリティ調査の充実や、既知の侵害指標(IoC)に基づく新たなアーティファクトの特定を可能にしていきます。
WhoisXML APIのドメインWHOISデータに関するお問い合わせは、
までお寄せください。インテグレーションやエンタープライズ向けセキュリティインテリジェンスのパッケージにつきましては、左記の各リンクからご確認いただけます。