Shikata Ga Nai

Private? There is no such things.

フィッシング詐欺に使われるドメインやIPアドレスの追跡についてまとめてみた

OSINT

Hello there, ('ω')ノ

フィッシング詐欺に使われるドメインやIPアドレスの追跡は、フィッシング攻撃を防止し、関連する脅威を特定するために重要な手段です。

フィッシング詐欺に使われるドメインやIPアドレスの追跡方法

1. WHOIS情報の確認

概要: WHOIS情報は、ドメイン名の登録者情報を含むデータベースです。フィッシングに使われるドメインの登録情報を確認することで、登録者や登録元を特定できます。

ツール:

  • WHOIS検索ツール: ICANN WHOIS、Whois.com、Domaintoolsなど。

具体例:

  1. WHOIS検索:

    • フィッシングメールに含まれるドメイン(例:「phishing-example.com」)をWHOIS検索ツールに入力。
    • 登録者名、連絡先情報、登録日などの情報を確認。

  2. 分析:

    • 登録者情報が匿名化されている、または短期間で多数のドメインを登録している場合、フィッシング活動の可能性が高い。

2. IPアドレスの追跡

概要: フィッシングサイトのホスティングサーバーのIPアドレスを特定し、そのIPアドレスの地理的位置や過去のアクティビティを調査します。

ツール:

  • IPアドレス追跡ツール: IPinfo、GeoIP、MaxMind GeoIPなど。

具体例:

  1. IPアドレスの特定:

    • フィッシングサイトのURL(例:「http://phishing-example.com」)を調査し、そのIPアドレスを特定(例:「192.0.2.1」)。
    • コマンドラインツールの「nslookup」や「dig」を使用してドメインのIPアドレスを確認。

  2. 地理的情報の取得:

    • IPinfoやGeoIPを使用して、特定したIPアドレスの地理的位置情報を取得。
    • : IPアドレス「192.0.2.1」が特定の国や地域に属しているか確認。

3. DNSレコードの解析

概要: フィッシングドメインのDNSレコードを解析することで、ドメインのMXレコード(メールサーバー)、NSレコード(ネームサーバー)、Aレコード(ホストアドレス)などの情報を取得し、さらなる調査を行います。

ツール:

  • DNS解析ツール: DNSstuff、MXToolbox、IntoDNSなど。

具体例:

  1. DNSレコードの取得:

    • DNS解析ツールにフィッシングドメインを入力し、DNSレコードを取得。
    • : ドメイン「phishing-example.com」のMXレコードやNSレコードを確認。

  2. 関連情報の分析:

    • NSレコードに設定されたネームサーバーが他のフィッシングドメインでも使用されているか確認。
    • : 同じネームサーバーを使用している複数のフィッシングドメインを特定し、関連性を分析。

4. ブラックリストの確認

概要: フィッシングに使われるドメインやIPアドレスは、しばしばブラックリストに登録されます。これらのリストを確認することで、過去に報告されたフィッシング活動の履歴を確認できます。

ツール:

  • ブラックリストチェックツール: Spamhaus、SURBL、PhishTankなど。

具体例:

  1. ブラックリストチェック:

    • ブラックリストチェックツールにフィッシングドメインやIPアドレスを入力し、リストに含まれているか確認。
    • : ドメイン「phishing-example.com」またはIPアドレス「192.0.2.1」がSpamhausのブラックリストに登録されているか確認。

  2. 履歴の確認:

    • ブラックリストに登録されている場合、そのドメインやIPアドレスが過去にどのようなフィッシング活動に関与していたかの履歴を確認。
    • : フィッシングメールの送信源として複数回報告されている場合、関連する他のドメインやIPアドレスも調査。

具体例のまとめ

例1: フィッシングドメインの追跡

  1. ドメインのWHOIS情報確認:

    • フィッシングドメイン「phishing-example.com」をWHOIS検索ツールに入力。
    • 登録者名、連絡先情報、登録日を確認し、短期間に多数のドメインを登録しているパターンを検出。

  2. DNSレコードの解析:

    • DNS解析ツールで「phishing-example.com」のMXレコード、NSレコードを取得。
    • 同じネームサーバーを使用している他のフィッシングドメインを特定。

  3. ブラックリストの確認:

    • ドメイン「phishing-example.com」をSpamhausで検索し、ブラックリストに登録されているか確認。
    • ブラックリストに登録されていた場合、過去のフィッシング活動の履歴を調査。

例2: フィッシングIPアドレスの追跡

  1. IPアドレスの特定:

    • フィッシングサイト「http://phishing-example.com」のIPアドレスを「nslookup」コマンドで取得(例:「192.0.2.1」)。

  2. 地理的情報の取得:

    • IPinfoやGeoIPを使用して、IPアドレス「192.0.2.1」の地理的位置情報を確認。
    • 特定の国や地域に集中している場合、その地域に関連する他のフィッシング活動も調査。

  3. ブラックリストの確認:

    • IPアドレス「192.0.2.1」をPhishTankで検索し、過去にフィッシング活動で使用されたことがあるか確認。
    • ブラックリストに登録されていた場合、関連する他のドメインやIPアドレスも追跡。

まとめ

フィッシング詐欺に使われるドメインやIPアドレスの追跡には、WHOIS情報の確認、IPアドレスの追跡、DNSレコードの解析、ブラックリストの確認といった手法が有効です。これらの手法を組み合わせることで、フィッシング活動の特定、追跡、そして防止が可能になります。具体例を参考にして、効果的なフィッシング対策を実施してください。

Best regards, (^^ゞ