※ 本記事は、X(元Twitter)を基盤とする脅威インテリジェンスアナリストのClandestineの分析内容を基に作成されました。
高度化するサイバー脅威環境において、単に自動化された検出システムに依存するだけでは、攻撃者の兆候を早期に把握することが困難です。そのため、攻撃に利用されうるインフラを事前に手動で探索し、脅威を能動的に追跡する脅威ハンティング(Threat Hunting)戦略の重要性が高まっています。
今回は第1回に続き、Criminal IPのタグ(Tag)およびフィルター(Filter)機能を利用した実際の脅威検出クエリを紹介します。各クエリは、検索リンクとともに提供され、セキュリティ初心者でも理解できるように、主要な概念についての解説もあわせて説明します。
Criminal IPのタグ・フィルターに基づく実践的なクエリの例
MythicベースのC2サーバーの特定
Criminal IPの検索クエリ:C2_mythic AND ssl_expired: true
Mythicは、攻撃シミュレーションや実際のサイバー攻撃で使用されるオープンソースのC2(Command & Control)フレームワークです。
攻撃者が一時的に作成したサーバーは、証明書の更新を行わないことが多く、このクエリは、SSL証明書の有効期限が切れたMythic C2サーバーを検出するのに役立ちます。
🔎 C2(Command and Control):攻撃者がマルウェアにコマンドを伝達したり、情報を収集するコントロールサーバー
外部に公開されたDevOpsプラットフォーム
Criminal IPの検索クエリ:tag: DevOps AND port: 80
DevOpsプラットフォームは、開発と運用を自動化するシステム(GitLab、Jenkinsなど)です。このようなDevOpsツールが外部に公開されると、内部ソースコード・CIやCD環境・APIキーなどが流出する可能性があります。このクエリは、ウェブインターフェース(ポート80)を通じてアクセス可能なDevOpsプラットフォームを特定し、セキュリティ上の脆弱な箇所を明らかにします。
SSL VPN公開の特定
Criminal IPの検索クエリ:tag: “SSL VPN” AND ssl_expired: true
SSL VPNは、リモートワーカーが社内ネットワークにアクセスできるようにするセキュリティソリューションであり、SSL VPNまたはRDPは企業の内部ネットワークへの代表的な入り口です。証明書の有効期限が切れたVPNインスタンスは、セキュリティ管理が不十分な環境で発見されることが多く、潜在的に放置されたシステムである可能性が高いです。
SSL証明書の有効期限が切れた侵害システム
Criminal IPの検索クエリ:tag: Compromised AND ssl_expired: true
侵害されたシステムでSSL証明書の有効期限が切れた状態は、セキュリティのメンテナンスと管理が行われていないことを意味します。このクエリは、継続的な侵害(ongoing compromise)の可能性が高いサーバーを効率的に検出するのに役立ちます。
Criminal IPで脅威インフラをよりスマートに見つける方法
- ssl_expired: true + tagの組み合わせ
→ 攻撃者がテストしたり、廃棄したインフラを特定するのに効果的です。 - cloud_provider・hostnameフィルター
→ クラウドベースの脅威の探索に効果的です。 - as_name
→ 特定の通信キャリアまたはクラウド事業者の範囲に絞ることができます。 - port + tagの同時条件→ 脆弱なサービスベースの選択的な検知が可能です。
結論
Criminal IPは、単なる資産検索ツールを超え、高度な脅威を事前に特定できる強力な脅威ハンティングプラットフォームです。
タグ(Tag)とフィルター(Filter)を組み合わせたクエリで実際の攻撃インフラを正確に特定することができ、攻撃の展開プロセス全体を理解し、積極的な対応戦略の立案に効果的です。
また、定期的なクエリの実行とSIEM・SOARシステムとの連携を通じて、自動化された検知・対応シナリオに拡張可能という点でも柔軟性と実用性を備えています。
関連してCriminal IP Dorksチートシート : 実践的な脅威インテリジェンスクエリガイド(第1回)をご参照ください。
データの提供:Criminal IP(https://www.criminalip.io/ja)
ご参照: