Home
1130 words
6 minutes
不審通信先調査のためのOSINTツール群と標準ワークフロー
2026-01-22
Cyber Security
Security
/
OSINT
/
Threat Intelligence
/
Incident Response
/
VirusTotal
/
urlscan.io

last_modified: 2026-01-22

1. 概要 (Overview)#

セキュリティインシデント調査において、ログに出現した不審な通信先(ドメイン・IPアドレス)が「単なるアドウェア」か「標的型攻撃(APT)の兆候」かを迅速に一次判断することは、初動対応の要である。 この判断プロセスにおいて、自身の端末から直接アクセスすることはリスクを伴うため、OSINT (Open Source Intelligence) ツールを用いた第三者視点での調査が標準的な手法となる。 本稿では、ドメインの危険性判定、カテゴリ分類、および安全なコンテンツ確認を行うための主要ツールと、それらを組み合わせた効率的な調査フローを整理する。

2. 脅威インテリジェンスとレピュテーション (Threat Intelligence and Reputation)#

2.1 総合脅威判定 (VirusTotal / OTX)#

複数のセキュリティベンダーによる判定を集約し、対象ドメインが既知の脅威であるかを統計的に評価する。

  • VirusTotal (virustotal.com): Google系列のサービス。70以上のウイルス対策エンジンおよびドメインブラックリストと照合を行う。多くのベンダーが「Malware」「Phishing」と判定した場合、客観的な危険性の証明となる。「Relations」タブでは、当該ドメインと通信する検体(exe/pdf等)の相関関係も確認可能である。
https://www.virustotal.com/gui/home/upload
  • AlienVault OTX (otx.alienvault.com): AT&T Cybersecurity運営の脅威情報共有プラットフォーム。対象ドメインが過去の攻撃キャンペーン(IOC)に含まれているかを確認でき、攻撃の文脈(例:特定の国家背景を持つ攻撃グループによるものか等)を把握する際に有用である。
https://otx.alienvault.com/

2.2 カテゴリとリスクスコア (Category and Scoring)#

対象が技術的に「黒」であるかどうかに加え、そのサイトが提供するコンテンツの属性(カテゴリ)を特定する。

  • Cisco Talos Intelligence (talosintelligence.com): Ciscoの脅威インテリジェンス部門によるデータベース。Web Categoryの判定に優れる。通信先がNSFW系サイト等であることを特定する際の裏付けとして機能する。
https://talosintelligence.com/
  • IBM X-Force Exchange (exchange.xforce.ibmcloud.com): IBMのデータベースにより、リスクスコア(1~10)と過去の感染履歴を表示する。企業のファイアウォール設定におけるブロック根拠として参照されることが多い。
https://exchange.xforce.ibmcloud.com/

3. 安全な動的解析とインフラ特定 (Dynamic Analysis and Infrastructure)#

3.1 サンドボックス・スキャン (urlscan.io / Any.Run)#

調査用端末を危険に晒すことなく、サーバーサイドで対象サイトへアクセスし、その挙動を可視化する手法である。

  • urlscan.io: 指定URLへ代理アクセスし、スクリーンショット、DOM構造、読み込まれたJavaScript、通信先IPを記録する。リダイレクトの連鎖を可視化できるため、アクセス時の挙動を証拠保全(魚拓)する場合に必須となる。
https://urlscan.io/
  • Any.Run: インタラクティブなサンドボックス環境。仮想環境上のWindowsをブラウザ経由で操作し、マルウェア感染時のプロセスツリー構築など、より高度な挙動解析が必要な局面に適応する。
https://any.run/

3.2 インフラ所有者情報 (Whois / Passive DNS)#

  • Whois Lookup: ドメイン登録者、登録日、ネームサーバー情報を確認する。使い捨てドメイン(登録から数日以内)の判別や、所有組織(例:Huawei所有のdbankcloud等)の特定に使用する。
  • PassiveTotal / SecurityTrails: パッシブDNS履歴により、ドメインとIPアドレスの紐付け履歴を追跡する。攻撃インフラの規模特定に用いるが、既知のアドウェア調査等ではオーバーエンジニアリングとなる場合がある。

4.1 標準調査手順#

不審なログが検出された際、以下の順序で調査を行うことで、客観的な事実に基づいた判断が可能となる。

  1. 脅威判定: VirusTotalにてドメインを検索し、検出数(赤文字)を確認する。
  2. 属性特定: Cisco Talosにてカテゴリ(アダルト、ギャンブル等)を特定する。
  3. 証拠保全: urlscan.ioにて現在のページ状態(スクリーンショット)を取得する。

4.2 適用上の注意#

このプロセスにより、「世界的なセキュリティベンダーがマルウェア判定しており、通信先は海外のアダルト広告サーバーである」といった定量的な報告が可能となる。これは、ユーザー側の主観的な主張(「知らない」「勝手に表示された」等)に対する反証として機能する。

結論 (Conclusion)#

OSINTツールによる調査は、推測を排除し、**「外部評価機関による客観的データ」**を収集するプロセスである。 上記ツール群を適切に組み合わせることで、ドメインの危険性と属性を数分以内に確定させることができ、インシデント対応における意思決定の精度と速度を最大化できる。

不審通信先調査のためのOSINTツール群と標準ワークフロー
https://ss0832.github.io/posts/20260122_url_domain_check/
Author
ss0832
Published at
2026-01-22
License
CC BY-NC-SA 4.0

Related Posts

MalwareBazaarにおける挙動解析データの参照:インシデント時の初動調査手順
2026-01-21
MalwareBazaarを用いて不審ファイルの具体的な挙動(通信先、ファイル操作、プロセス連鎖)の報告を確認する方法を記述する。
【Security】リダイレクトの悪用メカニズムと安全な実装:オープンリダイレクト脆弱性の解説
2026-01-18
信頼されたドメインが悪用される「オープンリダイレクト」の原理と、JavaScriptによる安全な転送実装(ハードコード)の重要性について
【Security】検索結果からの不正リダイレクト:SEOポイズニングとクローキングの技術的メカニズム
2026-01-18
検索エンジンには正常なページを見せつつ、ユーザーのみを悪性サイトへ転送する「クローキング」と、それを助長するXSS/オープンリダイレクトの複合攻撃について
Microsoft HTML Application Host (mshta.exe) の CLI 実行モデルとセキュリティリスク構造【改訂版】
2026-01-08
Windows 標準の HTA 実行ホストである mshta.exe について、CLI からのインラインスクリプト実行メカニズム、シェル(cmd/PowerShell)による挙動の違い、および Recaptcha 偽装(ClickFix)攻撃での悪用原理を技術的に詳説する。
【OSINT】Google Dorkingの体系的記述と演算子の網羅的解説:情報収集の高度化とセキュリティ監査への応用
2025-12-31
Google Dorking(Google Hacking)と呼ばれる高度な検索クエリ技術について、その構文、演算子、および具体的な応用例を網羅的に解説する。Open Source Intelligence (OSINT) の手法としての有用性と、セキュリティ監査における脆弱性発見のメカニズムを学術的な視点から体系化する。また、本技術の悪用がもたらす法的・倫理的リスクと、それに対する防衛策についても詳述する。
[Windows] ハンズオン: manage-bde で BitLocker をコマンドライン運用する
2025-12-28
manage-bde を使って BitLocker ボリュームの状態確認、有効化、ロック/解除、復旧、保守を行う実践手順