知っておくと便利かも!!レピュテーションサイト3選
こんにちは!! 筧( @TakaakiKakei )です。
突然ですが、不審な通信を検知した時に、本当に危険な通信であるかをあなたはどのように判断しますか? 今回はこんな時に判断材料の1つとして役立つ、レピュテーションサイトを紹介します! 紹介するサイトで送信元 IP を調査することで、悪意のある攻撃者からの通信かを判断する一助になるかもしれません。
それでは早速やっていくっ!!
今回紹介するサイト
以下の3サイトを紹介しますっ!
1. VirusTotal
VirusTotalの説明を Wikipedia より引用。
VirusTotalとはファイルやウェブサイトのマルウェア検査を行うウェブサイトである。ファイルをVirusTotalにアップロードしたりウェブサイトのURLを指定すれば、そのファイルやウェブサイトが「マルウェアを含むかどうか」検査できる。
VirusTotal は IP を検索することで複数エンジンの判定結果を参照することができます。 IP だけではなく、URL やファイルハッシュでも判定可能なので重宝します。
使い方
IP を調査したい場合は URL タブを選択して、対象 IP を検索するだけです。
見方
下図のように、DETACTION タブでは各エンジンの判定結果を確認できます。複数エンジンが危険と判定していれば、危険な可能性がより高いと判断できるでしょう。 私はあまり活用しませんが、DETAILS や COMMUNITY タブの情報を参照すれば、危険 URL に紐付くファイルハッシュ値などの関連情報も取得できることもあります。
- 危険がないと判定されている場合:Clean
- 危険があると判定されている場合:Malicious
- 評価自体されていない場合:Unrated
注意点
本筋ではないですが、VirusTotal の使い方について注意点が1つあります。VirusTotal は TOP 画面の FILE タブからファイルをアップロードしてそのファイルの危険判定を確認できる機能があります。 この際に個人情報などのを含む第三者に閲覧されると困るファイルは決してアップロードしないで下さい。
By submitting your file to VirusTotal you are asking VirusTotal to share your submission with the security community and agree to our Terms of Service and Privacy Policy. Learn more.
公式ページの TOP 画面に記載がありますが、「ファイルをアップロード = オープンなコミュニティにファイルを共有する」という形になることをお忘れなく。
2. AbuseIPDB
AbuseIPDB の説明を公式ページより引用。
AbuseIPDB is a project dedicated to helping combat the spread of hackers, spammers, and abusive activity on the internet.Our mission is to help make Web safer by providing a central blacklist for webmasters, system administrators, and other interested parties to report and find IP addresses that have been associated with malicious activity online.
実は最近利用し始めたサイトです(照)。 AbuseIPDB は IP を検索することで、その IP に関する他者からの報告を確認できます。 IP だけではなく、ドメインについても確認できます。
使い方
IP を調査したい場合は、検索から対象 IP を検索するだけです。
見方
下図のように、複数の報告者からの対象 IP に関するコメントやカテゴリ判定結果を確認できます。 ただしこちらのサイトでは情報登録が簡単にできます。なので情報の信憑性を評価する為に、私は他の IP レピュテーションサイトを併用しながら利用しています。
3. aguse
aguse の説明を公式ページより引用。
aguseは、調査したいサイトのURLや受信したメールのメールヘッダーを入力することにより、関連する情報を表示するサービスです。
aguse は不審サイトを安全にブラウジングして調査できるサイトで有名かと思います。 こちらの調査方法は機会があれば別途紹介するとして、IP レピュテーションとしての利用方法を紹介します。 aguse は IP を検索することで、複数ブラックリストの判定結果を確認できます。
使い方
IP を調査したい場合は、ウェブ を選択の上で検索窓から対象 IP を検索するだけです。
見方
下図のように、その他の情報を確認すると対象 IP に関するブラックリスト判定結果を確認できます。 複数ブラックリストが危険と判定していれば、危険な可能性がより高いと判断できるでしょう。
- 危険がないと判定されている場合:SAFE
- 危険があると判定されている場合:CAUTION
最後に
いかがだったでしょうか。私が使っている IP レピュテーションサイトを3つ紹介しました。 複数の判定サイトを組み合わせることで、より多くの判定元の判定結果を得ることでができ、評価しやすくなると思います。 もし他におすすめのサイトがあれば是非コメント等で教えてください!
そして最後に運用上の注意点を1つ。紹介したサイトで1つでも危険判定されていたら、一律ブロックするという運用は注意が必要です! 誤判定は勿論あり得るので、ブロックして本当にサービスに影響が出ないかをよく確認するようにしましょう。
以上!筧( @TakaakiKakei )でした!
更新履歴
- 2020/03/17 新規作成