お問い合わせ
ブログ

Criminal IP Dorksチートシート : 実践的な脅威インテリジェンスクエリガイド(第1回)

※ 本 Criminal IP Dorksチートシート は、X(元Twitter)を基盤とする脅威インテリジェンスアナリストのClandestineの分析内容を基に作成されました。 高度化するサイバー脅威環境において、単 続きを読む Criminal IP Dorksチートシート : 実践的な脅威インテリジェンスクエリガイド(第1回)

2025/06/16

※ 本 Criminal IP Dorksチートシート は、X(元Twitter)を基盤とする脅威インテリジェンスアナリストのClandestineの分析内容を基に作成されました。

高度化するサイバー脅威環境において、単に自動化された検出システムに依存するだけでは、攻撃者の兆候を早期に把握することが困難です。そのため、攻撃に利用されうるインフラを事前に手動で探索し、脅威を能動的に追跡する脅威ハンティング(Threat Hunting)戦略の重要性が高まっています。

本記事では、Criminal IPのタグ(Tag)およびフィルター(Filter)機能を活用し、実際の攻撃インフラを調査する実践的なクエリ例を紹介します。各例には検索結果のリンクが付属しているため、ユーザーの皆様は、実際に試しながら脅威検出戦略を身につけることができます。

Criminal IPのタグ・フィルターに基づく実践的なクエリの例

一般的なHTTP・HTTPSベースのC2検出

Criminal IPの検索クエリ:tag:C2 AND port:80 OR port:443

Criminal IPのIT資産検索の結果、合計4,102件が確認された
Criminal IPのIT資産検索の結果、合計4,102件が確認された

攻撃者は、悪意のあるC2サーバーを通常のウェブサービスのように見せかけるために、主に80番(HTTP)または443番(HTTPS)ポートを使用します。このクエリは、「tag:C2」条件で指定されたC2インフラのうち、ウェブトラフィックポートを使用するインフラを特定するのに役立ちます。

💡 Criminal IPでは、「AND」の方が「OR」よりも優先順位が高くなります。

Let’s Encrypt 証明書を使用するCobalt Strike

Criminal IPの検索クエリ:tag:”Cobalt Strike” ssl_issuer_organization:”Let’s Encrypt”

Criminal IPのIT資産検索の結果、合計4件が確認された
Criminal IPのIT資産検索の結果、合計4件が確認された

Cobalt Strikeは合法的なレッドチームツールですが、実際の攻撃に悪用されるケースも少なくありません。攻撃者は「Let’s Encrypt」のような無料証明書を頻繁に利用するため、このクエリは攻撃の可能性のあるCobalt Strikeインフラのうち、Let’s Encryptを利用している事例を検出できます。

有効期限が切れた証明書を使用するCobalt Strike

Criminal IPの検索クエリ:tag:”Cobalt Strike” AND ssl_expired:true

Criminal IPのIT資産検索の結果、合計34件が確認された
Criminal IPのIT資産検索の結果、合計34件が確認された

一時的に構成されたテスト用インフラや廃棄された攻撃サーバーをさらに特定したい場合、「ssl_expired:true」条件を併用できます。例のクエリは「tag:”Cobalt Strike” AND ssl_expired:true 」となります。

有効期限が切れた証明書を使用するIoT機器

Criminal IPの検索クエリ:tag:IoT ssl_expired:true

Criminal IP Dorksチートシート : Criminal IPのIT資産検索の結果、合計498件が確認された
Criminal IPのIT資産検索の結果、合計498件が確認された

IoT機器はセキュリティ管理が不十分な場合が多く、証明書を更新せずに運用されているケースが頻繁に見られます。このクエリは「ssl_expired: true」の条件を活用し、危険な状態にあるIoT資産を特定できます。

外部に公開されているDocker API

Criminal IPの検索クエリ:tag:Docker port:2375 OR port:2376

Criminal IP Dorksチートシート : Criminal IPのIT資産検索の結果、合計121件が確認された
Criminal IPのIT資産検索の結果、合計121件が確認された

Dockerは通常ポート2375(HTTP)または2376(HTTPS)でAPIを提供しており、認証なしで外部に公開されると重大なセキュリティ侵害につながる可能性があります。このクエリは、無防備な状態で公開されているコンテナ環境を検出するために使用できます。

AWS Elastic Beanstalk インスタンスの公開

Criminal IPの検索クエリ:title:”Elastic Beanstalk” port:80

Criminal IP Dorksチートシート : Criminal IPのIT資産検索の結果、合計4,518件が確認された
Criminal IPのIT資産検索の結果、合計4,518件が確認された

Elastic Beanstalk環境では、テストまたはデバッグ中のアプリケーションが外部に公開される場合があります。このクエリは、デフォルトポートの80で応答するBeanstalkインスタンスを特定し、セキュリティチェックが必要な対象を迅速に特定できます。

Criminal IPで脅威インフラを効率的に特定する方法

  • ssl_issuer_organization + ssl_expired:true
    → 臨時で構成されたインフラや攻撃者のテスト環境を特定するのに有効です。
  • cloud_provider・hostnameフィルターを活用
    → AWS、Azure、Google Cloud などで運用されているインフラを条件付きでフィルタリングできます。
  • as_nameフィルター
    → ASN(Autonomous System Number)を基に、ISPまたはクラウド事業者の範囲を絞り込むことができます。

結論

Criminal IPは、単なる資産検索ツールを超え、高度な脅威を事前に特定できる強力な脅威ハンティングプラットフォームです。
タグ(Tag)とフィルター(Filter)を組み合わせたカスタムクエリは、実際の攻撃インフラを特定する際に非常に効果的であり、単一の資産を対象とするのではなく、攻撃の展開プロセス全体を理解し、対処するのに役立ちます。

さらに、定期的なクエリ実行とSIEM・SOARシステムとの連携により、自動化された脅威対応シナリオへと発展させる柔軟性も備えています。

関連してOSINT脅威インテリジェンスを活用して内部管理システムの公開を防ぐ方法をご参照ください。

データの提供:Criminal IP(https://www.criminalip.io/ja

ご参照:

https://www.criminalip.io/ja/knowledge-hub/blog/3828

Criminal IP Dorksチートシート : 実践的な脅威インテリジェンスクエリガイド(第1回) | Criminal IP(クリミナルアイピー) | Criminal IP