家studyをつづって

IT技術やセキュリティで勉強したことをつづっています。

トップ > インターネット

HTTP/3とQUICについて

インターネット

HTTP/3とは

HTTP/3はHTTP/2に続くバージョンで、HTTP/2に比べてより速くWebサイトを表示できるよう改良されました。 HTTP/2まではTCPを使用しており、制御に関する通信が大量に発生していましたが、 HTTP/3ではUDPを使用することで上記の課題に対応しました。

 

 

 

QUIC(UDP/443)とは

QUICはGoogleがWebアクセスを高速化する目的で設計したもので、GoogleからIETFへ提案され標準化されました。 HTTP/3ではこのQUICを使用します。
QUICは、TLS1.3を使用することで通信の信頼性を向上させており、また通信の安全性を高めています。 GoogleやYouTube、FacebookなどはHTTP/3をすでに活用しており、Webの表示速度の高速化を可能にしています。

 

ブラウザの利用状況

ブラウザにおいては、Chrome v87、Firefox v88、Edge v87はすべてデフォルトでHTTP/3をサポートしています。
以下はEdgeの例となりますが、Youtubeを閲覧している状況でパケットを見るとQUICの通信が発生していることがわかります。

QUICの利用状況

QUICの利用はブラウザ側で設定でき、Edgeの場合は以下の設定を行うことで利用制限することも可能です。

以下はEdgeの場合ですが、アドレスバーに「edge://flags/」と入力し、「QUIC」と検索します。
検索結果に表示される「Experimental QUIC protocol」を「Disabled」とすることで無効化できます。
QUICについては、組織等でF/Wを使用している環境で、外部への通信がTCP/443のみ許可されている場合、通信不具合の原因になる場合があります。

QUICの利用設定

 

上記の設定後、再度同じようにYoutubeを見てみるとQUICの通信は発生しません。

QUIC無効化での通信状況

参考:サイトのHTTP/3対応状況確認方法

以下のサイトでは、HTTP/3の対応状況を調べたいサイトのURLを入力して調査することができます。

domsignal.com

 

 

 

サイトのHTTP/3対応状況確認

 

 

 

Google Oneのサービスについて(ダークウェブレポート、VPN)

インターネット セキュリティ Webサービス

ランキング参加中
セキュリティ

Google Oneとは

Google Oneとは、個人向けGoogleアカウントで利用できるメンバーシッププランのことで、Gmail、Googleドライブ及びGoogleフォトで共有する保存容量を追加購入できるものです。また、上記以外にもいくつかの特典が利用できます。

この記事ではGoogle One特典のうち、ダークウェブレポートVPNについて記載します。

one.google.com

 

 

 

 

ダークウェブレポート

以前はGoogle One限定で利用可能であったダークウェブレポートが無料のアカウントでも活用できるようになったというニュースがありました。

japan.zdnet.com

無料ユーザはメールアドレスのみチェックが可能であり、Google Oneのメンバーシップに加入しているユーザーは、メールアドレス以外に名前、生年月日、住所、電話番号がチェックできます。

プロファイル設定画面

プロファイルに入力した情報がダークウェブ上で確認されるとレポートされます。

※上記の例だと入力したメールアドレスが1件漏洩していることがわかります。

 

上記で検知のある「メール」を選択すると以下のような画面に変わります。

漏洩した情報の確認

上記の赤枠の中には漏洩の原因と思われる企業やサービスの名称が記載されます。

※上記の場合はPeatixの漏洩によるもののようです。

piyolog.hatenadiary.jp

 

VPN

Google Oneで提供されるVPN接続では、アプリやブラウザに関係なくインターネットに接続する際のIPアドレスを隠すことができ、場所を特定されたりするリスクを減らすことができます。

また、通信内容を暗号化できるのでFree Wi-Fi利用時などの情報窃取のリスクを低減できます。

Google OneのVPNでは基本的にON/OFFの操作のみで接続先は自動的に決定するため、特定地域のIPアドレスからのアクセス制御(ジオブロック)の回避には適していません。

support.google.com

 

また、VPNを動作している端末(スマートフォンを想定)でテザリングを有効化(アクセスポイントを有効化)し、他の端末を接続してもVPN経由での通信にはなりません。

 

VPN接続している端末(左)とその配下の端末(右)のグローバルIP

参考にさせていただいたサイト

貴重な情報をありがとうございます。

forest.watch.impress.co.jp

 

 

DNSBLについて調べてみた

セキュリティ インターネット

概要

DNSBL(DNS Block List等)とは主にスパム配信に関係するIPアドレスの一覧を確認するのに使われているものリストです。

メールを受信したサーバはDNSBLに問い合わせを行うことで、送信元のIPアドレスがリストに載っているか否かを知ることができ、リストの登録状況に基づいて受信拒否などの処理が行えます。

同様のリストには以下のようなものもあります。

  • RBL (Real-time Blackhole List)
    RBLは、「Realtime Blackhole List」や「Realtime BlackList」の略などと言われますが、ウイルスやスパムを送信している可能性のあるメールサーバの情報(IPアドレス)を集めたリストです。
  • DNSWL(DNS Whitelist)
    DNSBLと同じ仕組みを使って、ブラックリストではなくてホワイトリストを提供するサービスです。
  • RHSBL(Right Hand Side Blacklist)
    DNSBLではIPアドレスを公開していますが、RHSBLはドメイン名を公開しています。
  • URIBL(Uniform Resource Identifier Blacklist)
    メールの本文で言及されているウェブサイトのURIの中に出現するドメイン名とIPアドレスの一覧です。

 

 

 

主なDNSBL

Spamhaus

www.spamhaus.org

 

SpamCop

www.spamcop.net

 

MXToolBox

mxtoolbox.com

 

また、以下のサイトでは各DNSBL登録状況を確認することができます。

www.dnsbl.info

 

 

DNSBLの確認の仕方

DNSBLはDNSクエリとして確認することができます。

  1. 送信元IPアドレス(例:1.2.3.4)のバイト順を逆転させ 4.3.2.1とする。
  2. これにDNSBLのドメイン名を連結し4.3.2.1.dnsbl.example.netとする。
  3. これをドメイン名としてDNSで問い合わせる。
  4. DNSBLに載っていればクライアントが一覧にあれば127.0.0.XXといったアドレスが返ってくる。
    DNSBLに載っていなければ "NXDOMAIN" ("No such domain") というコードが返ってくる。

実際の操作イメージは以下の通りです。

DNSBLの問い合わせイメージ

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

ja.wikipedia.org

tex2e.github.io

www.pochaneko.com

https://www.janog.gr.jp/meeting/janog23/doc/d1p6.pdf

 

 

 

検索結果に表示される偽のECサイトについて

セキュリティ インターネット

ランキング参加中
セキュリティ

概要

日本サイバー犯罪対策センター(JC3)によると、2021年上半期における偽ECサイト等の通報件数は6535件で前年同期に比べて1516件(約30.2%)増加しました。
JC3は偽ECサイト増加の背景として、新型コロナウイルス感染症の影響によるインターネット利用の増加を挙げています。

私もGoogleで検索している際に偽ECサイトに実際に遭遇したので、アクセスしたときの様子をまとめました。

 

 

 

偽ECサイトの特徴

偽のECサイトは検索エンジンで検索すると正規サイトに紛れて検索結果に表示されます。その為、検索結果を上から順番にアクセスしたりすると偽のECサイトにアクセスしてしまう場合があります。

以下の例では「.fr」なのでフランス語圏に日本語サイトがあることや誤字があることに違和感があります。

 

検索結果に表示される偽ECサイトのイメージ

 

偽のECサイトについて、JC3では以下のような特徴をまとめています。

  • 自分が意図していないサイトに転送されていないか
    ブラウザがページを表示する間にリダイレクトされ、URLが置き換わっている場合があります。
  • 見慣れないTLDのURLではないか
    URLのTLD(トップレベルドメイン)が、.top、.xyz、.bid等、見慣れないTLDの場合は注意が必要です。
  • ECサイト運営者・連絡先の記載に不審な点はないか
    特定商取引法(*1)により、サイトに事業者の名称、住所、電話番号、代表者または責任者氏名が記載が義務付けられています。
     - 特定商取引に関する法律 (昭和五十一年法律第五十七号) 第11条
     - 特定商取引に関する法律施行規則 (昭和五十一年通商産業省令第八十九号) 第8条
    ただし、記載していても架空の情報または実在する会社を騙っている場合もあります。そのため、不審な点があれば名称や住所等を自ら調べてみることが重要です。
    ※法人であれば、国税庁法人番号公表サイトを利用して調べることもできますが、サイトに記載と同じ検索結果が返ってくる場合もあるため、あくまで判断するための一情報として確認するものと考えます。
  • 連絡先メールアドレスはフリーメールか独自のドメインか
  • サイトに不自然な日本語の記載はないか
    例:商品説明の欄に「休日か悪い天気に会ったとき、届けた日より2,3日遅れるの可能性になっています」等という不自然な日本語の記載がある
  • ログイン、会員登録、支払情報入力時はHTTPSの通信となっているか
  • 支払方法の説明と実際の決済画面とで、対応可能な支払い方法が異なっていないか
  • 法人が運営するサイトで、振込先が個人口座になっていないか
  • 商品があまりに激安になっていないか/品薄商品なのに容易に買えるようになっていないか

参考(*1):特定商取引法について

特定商取引法とは、消費者を守るための法律です。
ECサイトのような通信販売だけでなく、訪問販売や電話勧誘販売など、消費者とトラブルが発生しやすい取り引きに対して、事業者側が守るべきルールが定められています。
ECサイトは通信販売に分類されます。

www.sbpayment.jp

 

実際にセキュリティベンダよりフィッシング判定がされているサイトにアクセスしてみた様子が以下の画像です。

これは偽のECサイトの一例となります。

詐欺目的と思われるサイトのイメージ

いくつかのサイトを見て自分が感じたことになりますが、こういったサイトはメルカリ等に出品されている商品の情報(キーワード、写真)を使って作成しているように見えました。

 

偽ECサイトのキーワード設定

 

メルカリで出品されていた商品情報

サイト内のimgタグにかかれているURL(static.mercdn.net)を検索するとメルカリの情報が出てきました。

偽のECサイト内で読み込んでいる通信先情報

 

また、画像検索の検索結果にも改ざんサイトが多数含まれています。
「財布 激安」というキーワードで画像検索を行うと、検索結果の中に見慣れないTLD(自分だけかもしれませんが)が複数表示されます。

画像検索に表示される偽ECサイトの例

 

なお、「.bh」はバーレーンに割り当てられているTLD、「.pe」はペルーに割り当てられているTLDです。
このドメインでサイト検索をしてみると、複数のキーワードに関連づいていることが確認できます。

改ざんされたと思われるサイトの検索結果

 

先程の画像検索で表示される検索結果に実際にアクセスすると「~.online」リダイレクトにします。リダイレクト先のURLは詐欺サイトの判定を受けていました。

リダイレクト先サイトの評価

 

偽ECサイトへの対策

  • 検索結果に提示される広告等にはアクセスせずに、公式アカウントや正規サイトを検索してアクセスする。
  • 初めて利用するサイトは、社名や問合せ先などをネットで検索し、不審な情報がないか確認する。
  • 利用機会の多いサイトはブックマークに保存しておき、そこから利用する。
    (または公式アプリを利用する)
  • セキュリティソフトやアプリを最新状態に保つ。

is702.jp

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

www.jc3.or.jp

www.itmedia.co.jp

 

Quad9とは

セキュリティ インターネット

ランキング参加中
セキュリティ

概要

「Quad9」は、IBM Security、PCH(Packet Clearing House)、Global Cyber Alliance(GCA)が共同で提供している無償のDNSサービスで、 フィッシングや、マルウェアの感染等、不正行為が確認されたWebサイトへのアクセスをブロックすることができます。

この記事では「Quad9」について調べたことをまとめます。

 

   

 

 

Quad9の使い方

「Quad9」はIPアドレス(9.9.9.9)で提供されており、DNSサーバの設定を変更することで使用できます。

なお、「How DNS Works」(YouTube)の詳細とQuad9への切り替え方法の全手順はQuad 9のサイトでも確認できます。

「Quad9」をDNSに指定することで、悪性サイトの名前解決つをした時点でQuad9はそのアクセスをブロックします。

 

実際の動作イメージ

URL Haus等に掲載されているようなURLで実際の動作を確認してみます。

GoogleのパブリックDNS(8.8.8.8)では名前解決の応答があるのに対して、Quad9では名前解決に失敗していることが確認できました。

動作イメージ

 

補足:DNSの脅威情報

名称 概要
DNSハイジャック ドメインの管理権限を持たない第三者が、不正な手段でドメイン名を自身の支配下に置くこと。
DNSキャッシュポイズニング 偽のDNS応答をフルサービスリゾルバにキャッシュさせることで、利用者のアクセスを攻撃者が用意したサーバに誘導、フィッシングなどを図る攻撃手法。
DNSアンプ攻撃 DNSの応答送信元IPアドレスを偽った通常のDNS問い合わせをDNSサーバに送ることでDDoSを行う。
DNSトンネリング コマンド&コントロール(C&C)の通信や少量のデータを徐々にやり取りすること。
Domain Generation Algorithm(DGA)

従来のマルウェアは、ハードコードされたリストに基づきC&Cサーバへ接続を試みていましたが、時間経過とともにIoC等で検知されるようになります。

DGAは上記の課題に対応するために機械的にC&Cサーバのドメインを大量に⽣成し、通信確⽴を試みる手法。
類似ドメイン 企業のサイトやサービスと紛らわしいURLのサイトを立て、ユーザにアクセスさせる手法。

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

https://www.coresecurity.com/sites/default/files/resources/2018/05/WP_DGAs-in-the-Hands-of-Cyber-Criminals.pdf

https://www.idaten.ne.jp/portal/page/out/dsf2/C1453_maker.pdf

 

 

 

メールのアドレス情報とSMTP

インターネット ネットワーク

概要

メールには「Envelope From」と「Header From」といった送信元を表す情報があります。それぞれの使われ方やSMTPとの関連について整理しました。

 

 

 

メールの送信元・宛先情報

メールには、メーラに表示されるFrom、Toアドレスと、それ以外にサーバ間のSMTPプロトコル上でやりとりされるFrom、Toアドレスが存在します。

メーラで表示される情報はHeader情報SMTPで参照するのがEnvelope情報となります。一般的にHeader情報はメーラの中で入力されますが、Envelope情報はMTA上で自動的に付加しています。

それぞれ以下に記載します。

※余談ですが、Envelope(エンベロープ)とは、「封筒」という意味です。


Envelope To

SMTPの送信先となる宛先です。以下の図でRCPT TOで通知するメールアドレスとなります。

 

Envelope From

メールの送信元アドレスの情報です。以下の図でMAIL FROMで通知するメールアドレスとなります。
また、メール配信時にエラー等で送り先に届けられなかった場合に、Envelope Fromのアドレスにエラーメールが配送されます。


Header To

受信メールをメーラで表示した際に「宛先」欄に表示されている送信元アドレスです。

 

Header From

受信メールをメーラで表示した際に「差出人」欄に表示されている送信元アドレスです。Header Fromは仕様上、送信者が自由に記載できるため、実際の送信者とは異なる情報を表示させることも可能です。

Header(From、To)情報はDATAコマンドの中で通知されるものとなります。

 

SMTPと各情報参照のタイミング

 

各種情報の役割

Envelope Fromは、配送に問題があった場合の戻り先アドレスとなります。

メール配信システム等を利用している場合は、Envelope FromをHeader Fromと異なるエラーメール処理専用のアドレスにすることで対応している場合があります。

また、Header ToとEnvelope Toが分かれていることでBCC機能が利用できます。

BCCの仕組みは、BCCで送信する宛先をEnvelope Toのみに設定し、Header Toには設定しないことで、受信者に他の宛先を見せずに送信しています。

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

milestone-of-se.nesuke.com

www.cuenote.jp

 

 

 

 

広告に関する技術

インターネット

概要

これまでの広告は、特定のメディアの広告枠を買い、広告を掲載する「純広告」と呼ばれる形式のものが多くありましたが、 最近では広告配信技術(アドテクノロジー)の発展により、サイトを閲覧しているユーザに対して最適な広告が配信されるようになっています。

 

 

 

アドテクの種類

名前 概要
アドネットワーク (2008年ごろ)
参加しているメディアへ広告を配信する形式のもの
アドエクスチェンジ (2010年ごろ)
広告枠を購入することで複数アドネットワークに広告を配信するもの
DSP(Demand-Side Platform) 広告主側のツールで、SSPやアドエクスチェンジを通じて横断的な広告配信が可能
SSP(Supply-Side Platform) 広告を掲示する媒体側のツールで、広告収益を最大化するために高額な広告に入札するもの
DMP(Data Management Platform) DSPやSSPの精度を高めるため、ユーザデータを管理・提供するもの

DSP、SSP、DMPの関連性

各要素の関連
  1. ユーザがWebサイトにアクセス
  2. WebサイトからSSPへ、ユーザに表示する広告のリクエストを送信
    WebサイトがSSPに対して送るユーザの情報には以下のようなものがあります。
    性別・年齢
    興味関心
    Webサイトでの閲覧・行動履歴等
  3. SSPが情報を集計
  4. SSPから各DSPへリクエストを送信
    SSPからDSPへリクエスト時に送信される情報は以下の通りです。
    ユーザID
    掲載先のドメイン
    広告枠ID
    広告サイズ
    広告主の情報(コンテンツのカテゴリなど)
    許可する広告フォーマット
    ブラウザ・OS情報 など
  5. DSPがリクエストを受信、解析
  6. DSPが最適な広告をSSPに送信
  7. DSPから送信された広告の中から最価格の高いDSPを選び入札
  8. 入札された広告がWebサイトで表示される

参考にさせていただいたサイト

satori.marketing

jp.spideraf.com

 

 

 

Stop Forum Spamとは

セキュリティ インターネット

Stop Forum Spamとは

Stop Forum Spamとは、ボットによるスパム情報を収集し、対象のとなるIPアドレスやメールアドレス等の情報を検索したり、APIを使用することで自分のサイト上でスパム対策ができるサービスです。

www.stopforumspam.com

トップ画面で検索窓にキーワード(IPアドレスやメールアドレス等)を入力し検索することでキーワードに関連する情報がある場合は結果に表示されます。

Stop Forum Spamのアクセスイメージ

 

 

 

 

 

上記サイトが収集しているIPリストをダウンロードすることも可能です。

https://raw.githubusercontent.com/firehol/blocklist-ipsets/master/stopforumspam_7d.ipset

 

このようなWebサイトにおける「SPAM対策」について、参考にできるサイトには他にも以下のようなものがあります。

cleantalk.org

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

knowledge.sakura.ad.jp

 

 

 

 

様々なスキャンの通信元

インターネット セキュリティ ハニーポット

概要

Abuse-IPでIPアドレスの調査をしていると、以下のような記載があるIPがありました。

f:id:iestudy:20220307222812p:plain

Abuse-IPでの調査結果

 

調べてみるとこれはRapid7が調査のため行っているスキャンであり、「Project Sonar」という活動の一環であることがわかりました。

この記事では同様のスキャンを行っている活動(IPアドレス/ホスト名)を調べてみました。

 

 

 

スキャンを行っている送信元IP

Censys(University of Michigan College of Engineering)

  • 141.212.121.0/24
  • 141.212.122.0/24

cse.engin.umich.edu

 

The Shadowserver Foundation

  • scan-01.shadowserver.org
  • scan-02.shadowserver.org
  • scan-03.shadowserver.org
  • scan-04.shadowserver.org
  • scan-05.shadowserver.org
  • scan-06.shadowserver.org
  • scan-07.shadowserver.org
  • scan-08.shadowserver.org
  • scan-09.shadowserver.org
  • scan-10.shadowserver.org
  • scan-11.shadowserver.org
  • scan-12.shadowserver.org
  • scan-13.shadowserver.org
  • scan-14.shadowserver.org
  • scan-15.shadowserver.org
  • scan-16.shadowserver.org
  • scan-17.shadowserver.org
  • scan-18.shadowserver.org
  • scan-19.shadowserver.org
  • scan-20.shadowserver.org
  • scan-10n.shadowserver.org
  • scan-11n.shadowserver.org
  • scan-13n.shadowserver.org
  • scan-14n.shadowserver.org
  • scan-15n.shadowserver.org
  • scan-16n.shadowserver.org
  • scan-17n.shadowserver.org
  • scan-18n.shadowserver.org
  • scan-19n.shadowserver.org
  • scan-20n.shadowserver.org

 

SHODAN

  • census1.shodan.io
  • census2.shodan.io
  • census3.shodan.io
  • census4.shodan.io
  • census5.shodan.io
  • census6.shodan.io
  • census7.shodan.io
  • census8.shodan.io
  • census9.shodan.io
  • census10.shodan.io
  • census11.shodan.io
  • census12.shodan.io
  • atlantic.census.shodan.io
  • pacific.census.shodan.io
  • rim.census.shodan.io
  • pirate.census.shodan.io
  • inspire.census.shodan.io
  • ninja.census.shodan.io
  • border.census.shodan.io
  • burger.census.shodan.io
  • atlantic.dns.shodan.io
  • hello.data.shodan.io
  • sky.census.shodan.io
  • dojo.census.shodan.io
  • malware-hunter.census.shodan.io
  • battery.census.shodan.io
  • house.census.shodan.io
  • goldfish.census.shodan.io
  • battery.census.shodan.io
  • mason.census.shodan.io
  • flower.census.shodan.io
  • cloud.census.shodan.io
  • turtle.census.shodan.io

http://securityscream.com/?p=295

 

Project 25499

  • 98.143.148.107 (scanner01.project25499.com)
  • 155.94.254.133 (scanner02.project25499.com)
  • 155.94.254.143 (scanner03.project25499.com)
  • 155.94.222.12 (scanner04.project25499.com)

http://project25499.com/

 

Internet Scanning Project

  • 50.116.1.197

SANS Internet Storm Center SANS Internet Storm Center - A global cooperative cyber threat / internet security monitor and alert system. Featuring daily handler diaries with summarizing and analyzing new threats to networks and internet security events.SANS Internet Storm Centerisc, sans, internet, security, threat, worm, virus, phishing, hacking, vulnerability

 

RAPID7 Project Sonar

  • 71.6.233.0/24

sonar.labs.rapid7.com

 

Symantec

  • VBLADEAF001 46.4.95.23 scan1.ws.symantec.com
  • VBLADEAF002 46.4.85.9 scan2.ws.symantec.com
  • VBLADEAF003 46.4.85.14 scan3.ws.symantec.com
  • VBLADEAF004 46.4.94.227 scan4.ws.symantec.com
  • VBLADEAF005 46.4.94.230 scan5.ws.symantec.com
  • VBLADEAF006 46.4.94.239 scan6.ws.symantec.com
  • VBLADEAF007 67.192.122.132 scan7.ws.symantec.com
  • VBLADEAF008 204.232.241.139 scan8.ws.symantec.com
  • VBLADEAF009 46.4.94.143 scan9.ws.symantec.com
  • VBLADEAF010 5.9.77.176 scan10.ws.symantec.com

support.symantec.com

 

Qualys

  • 64.39.96.0/20 (64.39.96.1-.254)
  • 62.210.136.128/25 (62.210.136.129-.254)
  • 167.216.252.0/26 (167.216.252.1-.62)

community.qualys.com

 

NOTICE

総務省、NICTによって2019年2月から開始されているプロジェクトで、スキャン等により脆弱なIoT機器の有無を確認しているものです。
脆弱性が確認されると接続しているISPを経由して利用者に注意喚起が行われます。I

  • 39.110.250.232/29
  • 118.238.5.24/29
  • 150.249.227.160/28
  • 153.231.215.8/29
  • 153.231.216.176/29
  • 153.231.216.184/29
  • 153.231.216.216/29
  • 153.231.226.160/29
  • 153.231.226.168/29
  • 153.231.227.192/29
  • 153.231.227.208/29
  • 153.231.227.216/29
  • 153.231.227.224/29
  • 223.135.152.48/28

notice.go.jp

www.nict.go.jp


その他、IPまでは調べられませんでしたが中国のSHODANのような、「ZoomEye」というものもあるようです。

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

nomeu.net

qiita.com

 

 

 

OSINTに役立つサービスについて

セキュリティ インターネット

概要

OSINT(Open Source Intelligence)とは、一般に公開されている情報源からアクセス可能なデータを収集、分析する諜報活動の一種です。
米国国防総省(DoD)では、「特定の情報要件に対処する目的で、一般に入手可能な情報を収集し、利用し、適切な対象者に適時に普及させた情報」と定義されています。
この記事ではOSINTに役立つツールを紹介します。

www.nec-solutioninnovators.co.jp

 

 

 

OSINTに役立つサービス

whois

Whoisは、IPアドレスやドメイン名の登録者などに関する情報を、インターネットユーザーが誰でも参照できるサービスです。
以下のようなサイトで調査することが可能です。

whois.nic.ad.jp


また、Windwos上にファイルをダウンロードしてコマンドプロンプトから実行することも可能です。

docs.microsoft.com

 

Googleハッキング(Google Dorking)

Googleの検索エンジンを高度に活用して情報を収集する手法です。特定のクエリを作成することで、本来非公開とすべき情報が公開されていないか確認する方法です。
クエリには「オプション」を使用して特定の種類(拡張子)のファイルやドメインを指定して検索すること等が可能です。

具体的な例として以下のようなものがあります。

filetype:do "login"

これは拡張子が「.do」で「login」に関連するページを検索しています。

実際の検索結果は以下のような結果となります。

f:id:iestudy:20211108231239p:plain

検索結果の例

拡張子「.do」はApache Strutsで作成されたアプリケーションを呼び出すためのURLで、上記の検索ではApache Strutsで作成されてた”login”ページを検索しています。

 

また、上記のような検索の事例はGoogle Hacking DBのDorkより見ることができます。

www.exploit-db.com

 

また、検索エンジンはGoogle以外にも各国(地域)でよく使われるものもあり、調べたい情報が特定の地域に関連する場合は検索エンジンを使い分けることもあります。

 

SHODAN

SHODANは、Webサーバだけでなく、オフィス機器、情報家電などのIoT機器も含む、インターネットに接続されているさまざまな機器の情報が検索できるエンジンです。

 

検索できる情報には以下のようなものがあります。

  • IPアドレス
  • ホスト名FQDN(完全修飾ドメイン名)
  • ドメイン保有者情報
  • 位置情報、国、都市名、緯度・経度
  • ポート番号、プロトコル名
  • OS
  • バナー情報
  • SHODANへの登録日

 

SHODANでは、独自のクエリを使用して検索を行います。

 

ドメイン検索の例

hostname:検索したいドメイン

IPアドレスの例

net:XX.XX.XX.XX

 

IPAではSHODANを使用した自組織の不適切な情報公開を調査するレポートを公開しています。

www.ipa.go.jp

 

その他

OSINTに活用できるサービスを体系立ててまとめたものとして「OSINTFRAMEWORK」があります。「OSINTFRAMEWORK」ではOSINTで有用なサービスが体系立てて整理されており、調べたい内容から利用可能なツールを探すことができます。

osintframework.com

 

参考にさせていただいたサイト

貴重な情報をありがとうございます。

atmarkit.itmedia.co.jp

qiita.com

eset-info.canon-its.jp