【学問のすすめ】中世ヨーロッパ写字生のように黙って静かに手を動かすブログ

これまで習ったことや学んだことを記事にまとめています。ITネタが多いです。

【読後メモ】日経NETWORK 2018年11月号に出てきた攻撃者ごとの特徴(IoC)を探せるサイトをまとめてみた

日経NETWORK 2018年11月号で紹介されていた、サイバー攻撃における攻撃者毎の手口と特徴(IoC)を探せるサイト、およびフィッシング対策としてURLのチェックに使えるサイトをまとめました。

書籍情報

  • 書名:日経NETWORK
  • 関数:2018年11月号
  • サブタイトル:無線LANの最新技術
  • 記事名:「攻撃者は誰か」は重要ではない 対策に役立つのは攻撃の指標

shop.nikkeibp.co.jp

サイバー攻撃のIoCを探すことのできるサイト

IoCとは

IoCとは「Indicator of Compromise」の略で、サイバー攻撃における侵害の痕跡を意味します。
具体的には、攻撃に使用されたIPアドレスやドメイン情報、マルウェア検体のMD5ハッシュやファイル名、レジストリやシステムファイルの変更履歴、連続したログインの失敗や存在しないアカウントへのログイン試行のログ、攻撃に使用されるプロセス名を痕跡情報として記述します。これら項目のことを「Indicator Terms」と呼びます。 これらの情報をもとに、攻撃の範囲や侵害されたデータがどれであるかを判断します。

  • OpenIOC:FireEye社の定める記述方法(XML形式)
  • STIX:非営利団体MITREが定める記述方法(XML形式)

同一の形式でIoCを記録し共有することで、自組織で発生したインシデントと他組織で発生したインシデントを比較し、攻撃手順の推測に役立てることができます。 日経NETWORK 2018年11月号の記事、「「攻撃者は誰か」は重要ではない 対策に役立つのは攻撃の指標」では、IoCを検索するためのポータルサイトを紹介していました。
以下は、紹介されていたサイトを取りまとめたものです。

OTX:P88

AlianBolt(エイリアンボルト)が運営するIoC共有ポータルサイト。
トップページで、アカウントを作成しログインすると利用できるようになる模様。 ページ内では「Getting started with OTX Endpoint Security™ is free, fast, and simple.」と記載されており、無料であることをアピールしている。

otx.alienvault.com

IBM X-Force Exchange:P88

IBMの運営するIoC共有ポータルサイト。
今回の記事で紹介されていたサイトの中では唯一日本語に対応している。 ページ訪問時にアカウント作成かログインかを選択する画面が表示されるが、アカウント作成をせずゲストとして利用することも可能と思われる。 トップページの検索窓にはファイルをアップロードする機能があり、ファイルからも検索ができるのかもしれない。

exchange.xforce.ibmcloud.com

ThreatMiner:P88

「クリエイティブコモンズライセンス 4.0」と明記されているIoC共有ポータルサイト。 ページ内を確認したものの、運営元等の記載はない。URLやページタイトルから「.threatminer.org」が運営元であると推測される。 検索エンジンのような見た目で、「Indicator Terms」のなにがしかを検索窓に入力することでIoCを検索することができる。

www.threatminer.org

URLのチェックに使えるサイト

同記事には、IoCとは別に不審なURLがどの組織に運用されているものかを調べるサイトを紹介していました。
これらサイトにURLを入力し検索することで、運営組織や当該URLを使用した攻撃情報の有無を調べることができます。

urlscan.io

キーワードのドメイン、IPアドレス等を入力することで割り振られた組織等を確認できるとのこと。
実際に試したところ、ページのスキャンが行われ、ページ構造を要約した情報として、Whois情報、トップページのサムネイル画像、ページ作成に使われている技術等が表示された。 どちらかというとこのサイトWebスキャナに近いのかもしれない。 なお、スキャン結果のページ内には「urlscan.io Verdict:」と記載された項目があり、問題があればここに表示されるものと思われる。

urlscan.io

CheckPhish

「urlscan.io」と同様に、ドメイン名/IPアドレスを入力することで割り振られた組織等を確認できる。 検索を開始すると、魚が泳いでいるアニメとアニメに合わせた効果音が流れるため実行する場合はボリュームに注意。表示される情報は「urlscan.io」と変らなかった。 検索機能とは別に、フィッシングに使われることの多いドメイン名をリアルタイムで表示する機能がある。見てみると面白い。

checkphish.ai

感想

「日経NETWORK 2018年11月号」に掲載していたサイト5種類をまとめました。
AWS等に個人のハニーポットを運営し、ログをIoCの形式でまとめ分析し、そのあとで上記サイトで調べることを繰り返せば、サイバー攻撃について答え合わせ付きの学習ができるかもしれません。 こんかいまとめたサイトは、いずれも、ネット記事やTwitterを読んでいるだけでは、まずたどり着くことができません。 少なくとも私はIoCという用語も、それらを調べることのできるサイトがあることも知りませんでした。 参考書や雑誌を読まないと、なかなかこういう情報に触れることができません。 これらサイトを知れただけでも「日経NETWORK 2018年11月号」読む価値はあると思いました。