Criminal IP Dorksチートシート：クエリ作成ミス防止のチェックリスト | Criminal IP（クリミナルアイピー）

※ 本記事は、Criminal IPユーザーが頻繁に直面する検索失敗の事例や、フィルター使用時の作成ミスをまとめた実践的なガイドです。
今後は、より多様なクエリを柔軟に活用できるよう、Criminal IPも継続的に改善して行きます。

Criminal IPでは、タグ（tag）とフィルター（filter）を組み合わせることで、多様な脅威インフラを検出できます。しかし、場合によってはまったく意図した結果が得られないこともあります。望ましい結果がまったく出てこないこともあります。

このような場合、多くは実際のセキュリティインフラに問題があるわけではなく、文法ミスやフィールドの誤使用、優先順位の誤解といった、基本的なクエリ作成ミスに起因しています。

本記事では、頻繁に発生するクエリ作成ミスを整理し、Criminal IPをより正確かつ効果的に活用する方法を紹介します。

ミス 1：国名の代わりにテキストを入力

Criminal IPの「country」フィルターは、ISO 3166-1 alpha-2形式の国名コードのみを認識します。『Japan』のような一般的なテキストはフィルターとして機能せず、必ず以下のように2文字のコードで入力する必要があります。

💡 例：country:JP AND tag:C2 → 日本内のC2サーバーを検出

Criminal IPでは、定義されたフィールド名のみが認識され、存在しないフィールドやタイポ（入力ミス）は検索結果に反映されません。たとえば、SSL証明書の有効期限切れを検出するには、正確なフィールド名である「ssl_expired」を使用する必要があります。

🔎 すべてのフィールド一覧は、『Criminal IP > リソース > フィルター、タグ』で確認できます。

このクエリでは、C2タグが付与されたインフラのうちポート80が開いているものに加えて、C2タグの有無に関係なくポート443が開いているすべてのインフラも検出されます。

💡 Criminal IPの検索ロジックでは、「AND」が「OR」よりも先に適用されます。

つまり、上記のクエリは内部的には次のようなロジックとして解釈されます：
（tag:C2 AND port:80）OR port:443

ユーザーの意図とは異なり、「tag:C2」の条件は「port:443」には適用されないため、

不要な結果が含まれたり、誤検出の可能性が高くなる恐れがあります。

正確な条件の組み合わせが必要な場合は、「AND」で結合されたクエリを個別に分けて実行するのが最も確実です：

🔍 このように条件を明確に分離することで、誤検出を減らし、目的の結果により迅速にたどり着くことができます。

スペース（空白）を含む文字列は、ダブルクォーテーション（” “）で囲むことで1つの条件として認識されます。

そうしない場合、「SSL」と「VPN」はそれぞれ別の条件として解釈されてしまいます。

💡 該当フィールド：「title」、「as_name」、「ssl_issuer_organization」など

Criminal IPのフィルターは、大文字と小文字を区別しません。

つまり、次の3つのクエリはすべて同じように動作します。

ただし、「” “」の有無など、構文の構造は必ず守る必要があります。

フィールド名	説明
タグ	IT資産の特性（例：C2、IoT、DevOps など）
port	開いているポート番号（例：80、443、2375 など）
ssl_expired	SSL証明書の有効期限切れの有無（true・false）
cloud_provider	AWS、Azure、Google などのクラウドプロバイダー
hostname	ホスト名（例：ec2、vultr）
as_name	通信キャリアまたはクラウド企業名（例：Amazon.com Inc.）
country	2文字の国名コード（例：JP、US、RU）

Criminal IPは、単なるキーワード検索ではなく、正確なフィルターの組み合わせと条件構成によって、高度な脅威インフラを検出できるプラットフォームです。

構文を正しく理解し、フィールドを正確に使うだけでも、より多くの脅威をより速く発見することができます。

今回のミスチェックリストを参考に、クエリミスを減らし、より効率的な脅威ハンティング戦略を立ててみましょう。

データソース：Criminal IP（https://www.criminalip.io/ja）