ふと怪しいIPアドレスを見つけてしまったときに、どのくらい危険かをなんとなく3分くらいで調査する方法です。
本格的な調査の必要があるかどうかの判断材料の一つとして使えると思います。
なお、白の証明をするものではないので、ご注意ください。
役立つケース
- サイト運営をしていて、アクセス解析で極端に数の多いアクセスを見つけて、不安になってしまったとき
- Webサイトのアクセスログを確認すると、不審なリクエストが含まれていて、不安になってしまったとき
活用サイト
| サイト名 | 概要 | URL |
|---|---|---|
| AbuseIPDB | 悪意のある活動(ポートスキャンや脆弱性スキャン等)に関連付けられたIPアドレスを報告、検索可能なサイト | https://www.abuseipdb.com/ |
| SANS Internet Storm Center | インターネット定点観測のデータを検索可能なサイト | https://isc.sans.edu/ |
| AlienVault - Open Threat Exchang | IoC(Indicator of Compromise)※情報を交換できるプラットフォーム | https://otx.alienvault.com/ |
※攻撃されたことを示す痕跡の情報であり、代表的なものとしてURL、Domain、IPアドレス、ハッシュ値等がある。
活用方法(例)
- 調査対象IPアドレス(自分のブログのIPアドレス、無害なもの)
13.115.18.61 (https://moneymog.hatenablog.com/)
AbuseIPDB
IPアドレスの概要と悪意のある活動報告を確認します。
1-1. IPアドレスの入力
1-2. IPアドレス概要の確認
(参考)悪意のある活動報告がある場合の表示
Confidence(信頼性)が高いほど黒っぽいと判定
1-3. 悪意のある活動報告の有無を確認(今回はなし)
(参考)悪意のある活動報告がある場合の表示
SANS Internet Storm Center
定点観測上のデータにIPアドレスからアクセスが記録されているかどうかを確認します。
2-1.IPアドレスの入力
2-2.定点観測上のデータを確認(今回はなし)
(参考)定点観測上のデータがある場合の表示(Reportの数字をクリック)
→ 
AlienVault - Open Threat Exchang
IPアドレスに関係する攻撃情報を確認します。
3-1. IPアドレスを入力(虫眼鏡をクリックしてから入力)
3-2. Related Plusesの有無の確認
今回は有りですが特定の攻撃に紐づくIoCではないため、黒判断は要検討です。
各ブログ(はてブ、Qiita、Note)の更新やセキュリティニュース等をTwitterでお知らせしています。
よろしければ、Twitter(@moneymog)をフォローください。